AhnLab SEcurity intelligence Center(ASEC)は最近、メールを通じて配布されるフィッシングファイルを確認した。メールに添付されたフィッシングファイル(HTML)は、貼り付け(CTRL+V)機能によりユーザーが自らコマンドを実行するよう誘導する特徴がある。
[図1] フィッシングメール
攻撃者は、費用処理、運営指針の検討などの内容を利用して、受信者が添付ファイルを閲覧するよう誘導した。HTML ファイルを閲覧すると、MS Word に偽装した背景画面と、案内メッセージが表示される。メッセージは、Word ドキュメントを閲覧するには「How to fix」ボタンをクリックするよう案内する。
[図2] コマンド入力を誘導する案内メッセージ
「How to fix」ボタンをクリックすると、ユーザーに[Win+R] → [CTRL+V] → [Enter]キーを入力させるか、PowerShell ターミナルを直接開いてコマンドを入力するように誘導する。これと同時に、[図3]の Javascript を通じて Base64 でエンコードされている不正な PowerShell コマンド[図4]がデコードされ、ユーザーのクリップボードに保存される。
[図3] ユーザーのクリップボードに不正な PowerShell コマンドを保存
[図4] Base64 でエンコードされている PowerShell コマンド
したがって、説明されているプロセスを経ると[図5]のように不正な PowerShell コマンドが実行されてしまう。
[図5] クリップボードに前もってセッティングされた不正な PowerShell スクリプトの実行
この PowerShell コマンドは HTA ファイルを C2 からダウンロードし、実行する役割を担う。また、クリップボードを再び空白に設定して、実行された PowerShell コマンドの痕跡を隠蔽しようとする目的もうかがえる。HTA は再度 C2 から PowerShell コマンドを実行させ、結果的に ZIP ファイルの内部に存在する Autoit3.exe が、コンパイルされた不正な AutoIt スクリプト(script.a3x)を引数として実行される。メールの受信から感染までの全体的なフローは[図6]の通りである。
[図6] 全体フロー図
最終的には、Autoit で始まる DarkGate マルウェアに感染する。このように、出どころが不明なメールには注意が必要であり、内容に含まれたリンクや添付ファイルにはより特別な注意が必要である。
ファイル検知
Phishing/HTML.ClipBoard.SC199655 (2024.05.21.03)
Downloader/VBS.Generic.SC199642 (2024.05.21.00)
Downloader/VBS.Generic.SC199656 (2024.05.21.03)
Downloader/HTA.DarkGate.SC199621 (2024.05.16.02)
Downloader/PowerShell.Generic (2024.05.21.00)
Downloader/PowerShell.Generic (2024.05.21.02)
Downloader/PowerShell.Generic (2024.05.21.03)
Trojan/AU3.Agent (2024.05.21.00)
Trojan/AU3.Agent (2024.05.21.03)
Trojan/AU3.Agent (2024.05.22.00)
振る舞い検知
Execution/MDP.Powershell.M2514
IOC
8b788345fe1a3e9070e2d2982c1f1eb2 (html)
a66cc0139c199b37a32731592fb3ac0b (header.png)
0b77babfa83bdb4443bb3c5f918545ae (qhsddxna)
404bd47f17d482e139e64d0106b8888d (script.a3x in xcdttafq)
4b653886093a209c3d86cb43d507a53f (html)
30e2442555a4224bf15bbffae5e184ee (dark.hta)
7484931957633b796f165061b0c59794 (rdyjyany)
e0173741b91cabfecd703c20241c1108 (script.a3x in yoomzhda)
318f00b609039588ce5ace3bf1f8d05f (html)
a77becccca5571c00ebc9e516fd96ce8 (1.hta)
f2e4351aa516a1f2e59ade5d9e7aa1d6 (umkglnks)
4d52ea9aa7cd3a0e820a9421d936073f (script.a3x in iinkqrwu)
Download アドレス
hxxps://jenniferwelsh[.]com/header.png
hxxp://mylittlecabbage[.]net/qhsddxna
hxxp://mylittlecabbage[.]net/xcdttafq
hxxps://linktoxic34[.]com/wp-content/themes/twentytwentytwo/dark.hta
hxxp://dogmupdate[.]com/rdyjyany
hxxp://dogmupdate[.]com/yoomzhda
hxxps://www.rockcreekdds[.]com/wp-content/1.hta
hxxp://flexiblemaria[.]com/umkglnks
hxxp://flexiblemaria[.]com/iinkqrwu
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
The post 貼り付け(CTRL+V)機能によりコマンド実行を誘導するフィッシングメールに注意 appeared first on ASECブログ.