ASEC
  • マルウェアの情報
  • AhnLab 検知
  • 総計
  • 対応ガイド
  • AhnLab
Posted By ATCP , 2024년 08월 29일

Amazon サービスを悪用する MSC ファイルが拡散中

最近 ASEC(AhnLab SEcurity Intelligence Center)では、Amazon サービスを悪用する不正な MSC ファイルが配布されていることを確認した。MSC 拡張子は、XML ファイルフォーマットの構造を持っていることが特徴であり、MMC(Microsoft Management Console)により実行される方式である。

今年の6月22日、Elastic Security Labs により公開されたあとから拡散数が増加し、今回確保した2つの MSC ファイルは、MSC ファイル内部の「<StringTables>」区間にペイロードを挿入しておき apds.dll に存在する欠陥(外部サイト、英語にて提供)を利用してペイロードをトリガーする方式であり、7月に AhnLab TIP 会員専用コンテンツ(MSC マルウェアを通じて拡散している ValleyRAT)(韓国語にて提供)で同じタイプを公開したことがある。

[図1] MSC ファイル内部のコード

ファイル名:日本の防衛力増強および防衛産業復活の試み(審査用).msc

最初の事例は、実行時に AWS S3(オブジェクトストレージサービス)から不正な「msedge.dll」を含む複数のファイルを「C:\Users\Public」にダウンロードし、正常な PDF ファイルと「Edge.exe」を実行する。正常な PDF を実行することにより、ユーザーが「msedge.dll」マルウェアの実行に気づかせにくくする。

[図2] (左)MSC 最終ペイロード (右)デコイ PDF ドキュメント

「Edge.exe」が「msedge.dll」をロードして Logs.txt を復号化したあと、シェルコードを生成する。その後 dllhost.exe を子プロセスとして実行し、復号化されたシェルコードをインジェクションする。

[図3] 子プロセスの生成

インジェクションされた dllhost.exe は「152.42.226.161:88/ins.tg」に接続して、さらなるシェルコードをダウンロードし、実行する。最終的に「static.sk-inc.online:8443/etc.clientlibs/microsoft/clientlibs/clientlib-mwf-new/resources/fonts」との通信を試み、追加ファイルをダウンロードしようとするが、解析当時は当該サーバーがクローズしておりそれ以上の確認は不可能であった。

[図4] 通信履歴

ファイル名:readme(解压密码).msc

2つ目の事例は、最初の事例と同じく AWS S3(オブジェクトストレージサービス)から複数のファイルを「C:\Users\Public」にダウンロードし、「oncesvc.exe」を実行する。だが、デコイドキュメントと推定される「readme.docx」は確保されなかった。

[図5] MSC 最終ペイロード

「oncesvc.exe」は正常な .NET プログラムのコンポーネントである「dfsvc.exe」で、実行すると「oncesvc.exe.config」ファイルを読み込み「hxxps://speedshare.oss-cn-hongkong.aliyuncs.com/af7ffc2a629a1c258336fde8a1f71e0a.json」ファイルをダウンロードして実行する。

ダウンロードされた JSON ファイルは実際には DLL ファイルであり、内部に含まれた URL 「hxxps://speedshare.oss-cn-hongkong.aliyuncs.com/2472dca8c48ab987e632e66caabf86502bf3.xml」を AES で復号化してシェルコードをダウンロードする。その後、新規スレッドを生成して当該シェルコードを実行する。

[図6] DLL(json)ファイル内部のコード

最終的に Amazon クラウドとの通信を試みるが、現在は NULL を返しており実際にはどのようなデータを返すのかは不明だである。NULL ではない場合はデータを復号化して新規スレッドを生成、および実行する。

[図7] 新規スレッドを生成して実行するコード

当該ファイルの出どころは不明だが、フィッシングメールを通じて配布されたものと推定され、出どころの不明なメールを閲覧する際は注意が必要である。

IOC関連情報

MD5

0c93507db212c506fa82ffaadff7e034

22a4b86bf351bf855b9205bd3255ad5e

249c2d77aa53c36b619bdfbf02a817e5

4b643cf1bb43941073fe88ad410da96e

4ee936e21e154ae7e64e95b4537b0c7c

追加 IoC は ATIP で提供しています。

URL

http[:]//152[.]42[.]226[.]161[:]88/ins[.]tg

http[:]//api[.]s2cloud-amazon[.]com[:]8080/api/v1/homepage/8deb7837590a7d071096da5f881a3e135ac6651d388615fe79e27104ad8a3a60

http[:]//api[.]s2cloud-amazon[.]com[:]8080/api/v1/homepage/be70dc18937896ab224387bd01892954362339c0baa8f7e0b88bb541273da2c

https[:]//app-dimensiona[.]s3[.]sa-east-1[.]amazonaws[.]com/oncesvc[.]exe

https[:]//app-dimensiona[.]s3[.]sa-east-1[.]amazonaws[.]com/oncesvc[.]exe[.]config

追加 IoC は ATIP で提供しています。

IP

104[.]21[.]93[.]214

172[.]67[.]215[.]77

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム 「AhnLab TIP」 サブスクリプションサービスを通して確認できる。

Categories: APT, マルウェア, Public

Tagged as: Amazon, apds.dll, APT, AWSS3, backdoor, Cloud, MMC, MSC

韓国国内の Telegram アカウントを窃取するためのスミッシングキャンペーンに注意
Netflix を騙るフィッシングメールの拡散に注意

Archives

  • Facebook
  • RSS Feed
follow us in feedly