MSC 拡張子によって拡散している Rhadamanthys インフォスティーラー

AhnLab SEcurity intelligence Center(ASEC)は、Rhadamanthys インフォスティーラーが MSC 拡張子ファイルで配布されていることを確認した。MSC 拡張子は、Microsoft Management Console(MMC)により実行される XML ベースのフォーマットであり、スクリプトコードおよびコマンドの実行またはプログラム実行などの様々なタスクを登録して実行することができる。

実行される方式には2つのタイプが存在するが、1つ目は apds.dll の脆弱性(CVE-2024-43572)を使用するタイプであり、2つ目は Console Taskpad を使用してコマンドを実行するタイプである。MSC マルウェアは、2024年6月から配布量が増加し始めた。特に、apds.dll の脆弱性(CVE-2024-43572)を悪用するタイプが最も多く配布されている。今回発見された MSC ファイルは、Console Taskpad を使用するタイプである。MSC に関連する内容は過去のブログ[1]でも公開したことがあり、タイプ別の説明は以下の通りである。

1. apds.dll の脆弱性(CVE-2024-43572)使用

apds.dll に存在するリソースから「redirect.html」というリソースを探してその機能を使用する方式である。MSC においてこのタイプをトリガーするためには、「res://apds.dll/redirect.html?target=javascript:eval(external.Document.ScopeNamespace.GetRoot().Name)」構文が必要となる。

[図1] apds.dll の脆弱性を使用する MSC 内部ペイロードの一部

ここで「res://」プロトコルを利用して、ローカルに存在するファイルのリソースにアクセスできる。これを解析すると、apds.dll に存在する「redirect.html」リソースにアクセスするものである。当該リソースには正規表現検索を通じて「target=」の後ろのコードを探し、当該コードを「.exec()」によって実行する方式がある。すなわち、要約すると MMC でコードを実行するのではなく、脆弱な DLL 内部で直接コードを実行する方式である。

[図2] 「redirect.html」リソースの中身

2. Console Taskpad の使用

<ConsoleTaskpads>と</ConsoleTaskpads>の間に存在するコマンドを解析して実行する方式であり、1番とは違って MMC 内部でコマンドを実行する方式である。1番の方式のように DLL 内部でコードを実行する方式ではなく、MMC 自らサポートする機能を使用する方式であるため、簡単なコマンドおよび特定のファイルの実行程度のみが可能である。

[図3] Console Taskpad 方式を使用する MSC 内部ペイロード

MSC ファイルは MS Word ドキュメントに偽装しており、[図4]のように「Open」ボタンをクリックすると外部から PowerShell スクリプトをダウンロードして実行する。その後、ダウンロードされた PowerShell スクリプトには EXE(Rhadamanthys)ファイルが含まれており、%LocalAppData%(C:\Users\[ユーザー名]\AppData\Local)パスに「eRSg.mp3」という名前で生成され、実行される。

[図4] 不正な MSC ファイルのアイコン

[図5] ダウンロードされた PowerShell スクリプト

MSC マルウェアは、2024年6月から配布量が増加した。apds.dll の脆弱性(CVE-2024-43572)を使用するタイプは脆弱性パッチによりそれ以上実行されなくなるが、Console Taskpad を使用するタイプは脆弱性を悪用する方式ではないため、正常な方法でも使用されることがある。したがって、出どころが不明な MSC ファイルを実行するときは、ユーザーは特に注意が必要である。

IOC 関連情報

MD5

560024efca8e5730dc4decf2e2c252db

7b26a25d7bf2be6fdc2810ba5f519b4a

9b738d877e6590b40c2784be10c215d7

URL

https[:]//daddychill[.]nl[:]1537/77950e0740519/udpne49n[.]du0i8

https[:]//oshi[.]at/SdUr/TSWY[.]txt