AhnLab Security Emergency response Center(ASEC)では、韓国の金融企業を対象に不正な LNK ファイルが拡散している状況を確認した。LNK ファイルを利用した攻撃は、過去から継続的に利用されてきた方式であり、ユーザーの注意が必要である。
最近確認された LNK ファイルは、不正な URL が添付された電子メールを通じて配布されているものと推定される。URL は以下の通りであり、「金融当局の要請によるプロジェクト情報確認要請の件.zip」という名前の圧縮ファイル(ZIP)がダウンロードされる。現在は正常なドキュメントのみが含まれた圧縮ファイルがダウンロードされており、攻撃者は短期間のみ不正なファイルを配布することで、解析や追跡を困難にしているものと判断される。
- ダウンロード URL
hxxps://cumasufitness[.]com/wp-includes/js/inc/?aEFrmRUBjZHtF=cfv0wxmIIUr%2BJAwMxATk9fG%2B8bF2B4KmBd7fe3KYw594YW%2B4GMISiUDCi6d3o8rjLWk
vIZyD%2BDGFejKC5K%2BM2jACfRH%2Baq6HxTGuHd0ZXc8yANAvFQ3Zduafgo1P2JU%2FBSN1e3uNA6w%3D
拡散している不正な圧縮ファイルの場合、内部に不正な LNK ファイルと正常な PDF ファイルが存在する。
[図1] 圧縮ファイルの内部
正常な PDF ファイルは、仮想通貨関連のプロジェクト情報のアップデートをリクエストするものであり、ユーザーが不正な LNK ファイルを実行するように誘導している。
[図2] 正常な PDF ファイル
下の不正な LNK ファイルは、一般的なユーザーが見た場合、Excel ファイルと勘違いしやすい。しかし、LNK ファイルの内部には不正な PowerShell コマンドが含まれており、ファイルの全体サイズは約 300MB である。
[図3] 不正な LNK ファイル
PowerShell コマンドは難読化されており、過去に配布されたタイプよりも難読化度合がさらに複雑である。変数名に特殊文字を使用したり、使用される文字列をすべて分割したりすることで、解析と検知を回避しようとしているものと判断される。
[図4] 難読化された不正な PowerShell コマンド
PowerShell コマンドの機能は、過去と同様である。LNK ファイル内の特定位置にあるデータを xor 演算したあと、以下のファイルを作成する。
- {Current path}\#1. プロジェクト情報アップデート要請事項.xlsx (正常)
- %Public%\transfer.cab (不正)
その後、作成された正常な Excel ファイルを実行して、ユーザーの立場からは不正な振る舞いに気づきにくいようにする。このとき、同時に作成された不正な CAB ファイルの圧縮を解凍したあと、「start.vbs」ファイルを実行し、LNK ファイルと CAB ファイルは削除して実行の痕跡を削除する。
[図5] 正常な Excel ファイル
[図6] transfer.cab の中身
start.vbs を含む各スクリプトの機能は、以下の通りである。
| ファイル名 | 機能 |
|---|---|
| start.vbs | 37667862.bat の実行 |
| 37667862.bat | RunKey 登録(start.vbs) 57089304.bat 実行(ダウンロード機能) 39054408.bat 実行(情報窃取機能) 69299856.bat 実行(ダウンロード機能) |
| 57089304.bat | 46492345.bat を通じて ZIP ファイルをダウンロード unzip.exe を通じて圧縮ファイル解凍後、1.bat を実行 |
| 39054408.bat | ユーザー情報の収集 90262621.bat の実行 |
| 69299856.bat | 46492345.bat を通じて CAB ファイルをダウンロード expand コマンドを通じて圧縮ファイル解凍後、temprun.bat を実行 |
| 46492345.bat | ファイルのダウンロード |
| 90262621.bat | ユーザー情報のアップロード |
| unzip.exe | ZIP ファイルの解凍 |
各スクリプトによって最終的に実行される不正な振る舞いは、ユーザー情報の窃取およびさらなる不正なファイルのダウンロードである。窃取されるユーザー情報は以下の通りであり、この情報は「hxxp://shutss[.]com/upload.php」に送信される。
- 窃取情報(39054408.bat 機能)
downloads フォルダーのファイルリスト
documents フォルダーのファイルリスト
desktop フォルダーのファイルリスト
システム情報
ダウンロードされるファイルは計2つあり、ZIP ファイルと CAB ファイルである。ZIP ファイルは unzip.exe を通じて解凍するが、その際にパスワード(a0)が必要である。その後、作成されたファイルのうち 1.bat ファイルを実行する。
- ダウンロード URL (57089304.bat 機能)
hxxps://thevintagegarage[.]com/plugins/content/src/inc/get.php?ra=iew&zw=lk0100
CAB ファイルは expand コマンドによって解凍し、その後作成される temprun.bat ファイルを実行する。
- ダウンロード URL (69299856.bat 機能)
hxxp://shutss[.]com/list.php?f=%COMPUTERNAME%.txt
現在、追加ファイルのダウンロードは不可能であり、以降の不正な振る舞いについては判明していないが、攻撃者がアップロードするファイルによって様々な攻撃が実行される可能性がある。
また、攻撃に使用されるファイルフォーマット、コマンド、URL 形式など、不正な振る舞いが行われるプロセスが従来のものと類似していることから、同じ攻撃者によるものと推定される。攻撃プロセスは変化していないが、攻撃に使われるスクリプトコードはより複雑に難読化されており、攻撃者は検知を回避するために試行錯誤しているものと思われる。
LNK ファイルを利用した攻撃は過去から現在まで繰り返し確認され続けており、攻撃の対象となるターゲットに応じた様々なテーマを使って配布されているため、ユーザーは出どころが不明なファイルは開かないようにする必要がある。
[ファイル検知]
Trojan/LNK.Agent (2024.07.24.02)
[IOC]
e3eeeebb117b7c3128d87b6e027bd85d
hxxps://cumasufitness[.]com/wp-includes/js/inc/?aEFrmRUBjZHtF=cfv0wxmIIUr%2BJAwMxATk9fG%2B8bF2B4KmBd7fe3KYw594YW%2B4GMISiUDCi6d3o8rjLWkvIZyD%2BDGFejKC5K%2BM2jACfRH%2Baq6HxTGuHd0ZXc8yANAvFQ3Zduafgo1P2JU%2FBSN1e3uNA6w%3D
hxxp://shutss[.]com/upload.php
hxxps://thevintagegarage[.]com/plugins/content/src/inc/get.php?ra=iew&zw=lk0100
hxxp://shutss[.]com/list.php?f=%COMPUTERNAME%.txt
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム 「AhnLab TIP」 サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報