アンラボは最近、韓国有名カード会社のセキュリティメールに偽装した悪性ファイルが拡散している状況を確認した。今回の攻撃は、過去に Kimsuky グループがパスワードファイルに偽装した悪性 LNK を拡散した事例と類似した流れを持つが、最初の LNK ファイルから実行されるコマンドが変更されている点が特徴である。特に、感染環境におけるセキュリティサービスの動作状況に応じて、追加ファイルの実行方法および悪性動作の内容が異なる構造となっている。
セキュリティサービスの動作状況に応じて変わる悪性動作
悪性 LNK ファイルには、PowerShell を通じて mshta コマンドを実行する構文が含まれている。ファイル実行時、特定のアドレスに存在する HTA ファイルが mshta.exe を通じて実行され、当該 HTA ファイルは難読化された VBScript コードを含む。その後、正常な文書に見せかけたデコイ文書をダウンロードして実行し、ユーザーの疑念を減らす。
[図 1] 難読化された VBScript
その後、マルウェアは Windows Defender セキュリティサービスの動作状況を確認し、環境に応じて異なる方法で追加ファイルをダウンロード・実行する。
Windows Defender が動作している環境では、Curl を使用して指定アドレスから pipe.log ファイルを %LocalAppData% パスへダウンロードする。当該ファイルは AES で暗号化されており、復号後に pipe.zip として保存され、解凍される。
pipe.zip の内部には [図 2] のように 1.log、1.ps1、2.log ファイルが存在する。それぞれ情報窃取およびバックドア動作、ファイル内容を読み取った後にメモリ上で Base64 デコード結果を実行する機能、キーロギングおよびクリップボードデータ収集機能を担う。
[図 2] pipe.zip ファイルの内部
| ファイル名 | 機能 |
|---|---|
| 1.log | 情報窃取およびバックドア機能を実行 (Base64 エンコード形式) |
| 1.ps1 | ファイル名を引数として受け取り、該当ファイルの内容を読み取った後、Base64 デコード結果をメモリ上で実行 |
| 2.log | キーロギングおよびクリップボードデータ窃取機能を実行 (Base64 エンコード形式) |
[表 1] pipe.zip 内部ファイル
一方、Windows Defender が停止している状態では、%LocalAppData% パスに user.txt と sys.log ファイルをダウンロードする。sys.log ファイルは内蔵された AES キーを使用して復号された後 sys.dll として保存され、その後 rundll32 を通じてロードされる。sys.dll はダウンローダー型マルウェアであり、VBox および VMware 仮想マシン環境では実行を中断する。
%LocalAppData%\user.txt ファイルに含まれた暗号化されたデータを復号すると3つの URL が確認され、各 URL から追加の悪性ファイルを %LocalAppData% パスへダウンロードする。
| ダウンロード URL | 保存パス |
|---|---|
| hxxps://drive.google[.]com/uc?export=download&id=1veetviG******** | %LOCALAPPDATA%\notepad.log |
| hxxps://drive.google[.]com/uc?export=download&id=1PTs95g******** | %LOCALAPPDATA%\net |
| hxxps://drive.google[.]com/uc?export=download&id=1EkyeoS******** | %LOCALAPPDATA%\app |
[表 2] 追加でダウンロードするファイル
主要な悪性機能
今回の攻撃では、感染環境に応じて複数の悪性コンポーネントが追加実行され、各ファイルはバックドアまたは情報窃取機能を担うことが確認された。
追加実行される悪性ファイルのうち、notepad.log はバックドア型マルウェアであり、リモートコマンドの実行、ファイルおよびディレクトリ情報の収集、ファイルのダウンロード/アップロード、ホスト情報のアップロード、ブラウザ情報の収集などの機能を持つ。また、ブラウザ拡張機能および暗号資産ウォレット関連パスの探索、リモート管理ツール (MeshAgent) 設定ファイルのダウンロード、キーロギングおよびクリップボードデータ収集機能も実行する。
別の悪性ファイルである net はインフォスティーラー型マルウェアであり、Chrome および Firefox ブラウザのアカウント情報、ならびに Thunderbird、Group Mail、IncrediMail などのメールクライアントのアカウント情報を窃取することが分析で判明した。
[図 3] net ファイルのコードの一部
app もインフォスティーラー型マルウェアである。このファイルは chrome.exe プロセスを探索した後、コマンドラインに –type= が存在しないメインの Chrome プロセスに復号されたコードをインジェクションし、Chrome、Edge、Whale ブラウザのクッキー情報を窃取する。
[図 4] app ファイルのコードの一部
対応策
今回の事例は、ユーザーが有名カード会社のセキュリティメールと誤認して悪性ファイルを実行するよう誘導するという点で注意が必要である。ユーザーはセキュリティメールのように見えるファイルであっても、出所とファイル形式を確認し、不審なファイルの実行を避けるべきである。
アンラボは今回の事例に関して、以下の対応策を案内している。
1. 登録されたレジストリの確認
登録されたレジストリを点検し、不審なレジストリが確認された場合は該当項目を削除する。
2. 不審なファイルの削除
%TEMP% または %LOCALAPPDATA%\pipe パスに 1.log、1.ps1、2.log といったファイルが存在する場合、悪性ファイルの可能性があるため直ちに削除する。
今回の攻撃は、正常な文書に偽装したデコイファイルを活用し、セキュリティサービスの動作状況に応じて悪性動作の内容を変える事例である。ユーザーはカード会社を装ったセキュリティメールや関連ファイルを開く際に十分注意し、企業は不審なレジストリおよびファイルの生成有無を点検する必要がある。
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム 「AhnLab TIP」 サブスクリプションサービスを通して確認できる。
Categories: Uncategorized