マルウェア作成者が、手の込んだ文書やデスクトップパブリッシングタスクに使用される Microsoft Publisher のようなパブリッシングソフトウェアを利用することは非常に珍しいことです。
そのため、.pub 添付ファイル(Microsoft Office Publisher ファイル)と件名「Payment Advice」を含 む電子メールサンプルを見たとき、私たちの疑惑が喚起されました。確かに、このファイルはユー ザにとって有用なものを提供していないでしょう。
.pub ファイルを開くと、マクロを有効にするよう求められます。以前のバージョンの Microsoft Publisher では、”編集を有効にする” および “コンテンツを有効にする” の手順が表示されること があります。
手動で Microsoft Publisher で VBA エディタを開き、プロジェクトエクスプローラで ThisDocument をクリックすると、VBScript が表示されます。マクロスクリプトは Document_Open()関数でトリガーされます。名前が示すように、ファイルを開くと、スクリプトは URL にアクセスしてダウンロードした ファイルを実行します。
このコードでは、フォーム内のコントロールオブジェクトを使用して、アクセスする URL を非表示に しています。プロパティを詳細に調べると、タグプロパティに配置されます。
サンプルを試してみるまでに URL にアクセスできなくなりましたが、この URL は、攻撃者がユーザ に悟られることなくコンピュータを制御するために使用するバックドアツールである FlawedAmmyy RAT を含む自己解凍形式のアーカイブをダウンロードするために使用されていたことが、その後の簡単な調査で判明しています。私たちの Cuckoo システムの簡単な分析で、バックドアが FlawedAmmyy に関連する特定の IP にアクセスしたことが確認されました。
"id"、 "os"、 "names"、クレデンシャル情報などのマシン情報が攻撃者に送信されます。
上記のように、このキャンペーンは .pub ファイルを使用するという珍しいものでした。また、これま での数多くのマルウェアの流通を担当していた有名なボットネットである Necurs ボットネットの由 来にも見えました(過去のブログ ここと ここを参照)。これまでの大量キャンペーンとは異なり、この キャンペーンは小さく、興味深いことに、対象とした To:アドレスのすべてが銀行に属するドメイン であり、攻撃者が FlawedAmmyy RAT で銀行内の足場を取得したいという欲求を示しています。
侵害証跡(IOC)
PUB ファイル:
MD5 5fdeaa5e62fabc9933352efe016f1565
SHA1 7141932617f4718521bda0a960a036114769872d
URL(hxxp://f79q.com/aa1)からダウンロードされるファイル:
MD5 be6a53fbee5529a1cdbdd4345c191dfa
SHA1 985b44e7280b0293d08982c466d95ed86452fb73
解凍されたファイル (FlawwedAmmy RAT):
MD5 bacd1120ad0918b81d98de9b9acb69ce
SHA1 b65c2fc63ff2db8ed69ec7e856702f85f5af319e