最近、AhnLab SEcurity intelligence Center(ASEC)では海外の有名配送業者を騙り、フィッシングメールを通じて GuLoader マルウェアを配布する事例を確認した。このフィッシングメールは、ASEC が運用している電子メールハニーポットによって確保された。メール本文には、事後納付通関の税金の確認内容とともに、添付ファイルを開くよう要求する内容が記載されている。
[図1] フィッシングメールの本文
添付ファイルには難読化された VBScript が含まれており、ファイルを開くと内部に含まれた PowerShell スクリプトを組み合わせて実行し、外部から追加ファイルをダウンロードする。その後 HKEY_CURRENT_USER\SOFTWARE[ランダムな名前] という名前のレジストリキーを生成して、難読化された PowerShell Script の持続性を維持する。
※ 本文のサンプルでは、PolySyndetic の名前で登録されている。
[図2] (左)VBScript の一部 (右)PowerShell スクリプトの一部
[図3] レジストリキーに登録された PowerShell スクリプトの一部
最終的に msiexec.exe を子プロセスとして生成し、Xworm RAT をインジェクションして実行する。
[図4] 最終的に実行される Xworm RAT
[図5] 最終プロセスツリー
GuLoader は2019年12月から拡散が始まったダウンローダーマルウェアであり、現在でも様々な形で配布が続いている。ダウンローダーマルウェアであるため、様々なマルウェアに感染させ、2次被害が発生することがある。したがって、ユーザーは出どころが不明な電子メールに添付された添付ファイルを開くときは注意する必要がある。
IOC 関連情報
MD5
0477406f83847d43a3b668cc1e75185f
1ce8509eabe2a293376d9b70044922fd
9c14df330dea5dfaab7a4303a3296779
a501b4c09476b8f5ab505c6578bf9f9e
URL
https[:]//planachiever[.]au/admin-admin/Belejrers[.]fla
https[:]//planachiever[.]au/admin-admin/bPeMVYr142[.]bin
FQDN
tripplebanks[.]duckdns[.]org
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム 「AhnLab TIP」 サブスクリプションサービスを通して確認できる。
Categories: マルウェア