ブログとストーリー

SpiderLabsブログ

年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。

パスワード保護された Word 文書が HERMES ランサム ウェアを運ぶ

AV による検出の回避は、スパムキャンペーンを実施するマルウェア作成者のルーチン作業の一 部です。これを達成する以前からの効果的な方法は、パスワードで保護されたドキュメントをスパ ムすることです。最近、このようなパスワードで保護された文書がスパムアウトされていることがわ かりました。さらに悪いことに、その中身はランサムウェアでした。

 

Email_sample
図 1: 添付ファイル「Invoice.doc」のパスワードを含む電子メールサンプル

 

Doc_pwd
図 2: ユーザーは文書を開くためにパスワードを入力する必要があります

 

「Invoice.doc」の添付ファイルにはマクロが含まれています。ユーザーのマクロセキュリティ設定 が [低] の場合、ドキュメントは自動的にマクロを起動します。さらに、マクロはパスワードで保護さ れています。残念なことに、これに直面したユーザーの多くは、この文書がバックグラウンドで何を するか分からないでしょう。

マクロの内容を見ると、hxxp://209[.]141[.]59[.]124/azo.exe からファイルをダウンロード し、%temp%\qwerty2.exe に保存して起動します。最終的に同じ IP アドレスから、この azo.exe は HERMES 2.1 ランサムウェアである hrms.exe をダウンロードして実行します。

Macro_azo
図 3:「Invoice.doc」添付ファイル内のマクロ

 

Hermes 2.1 ランサムウェアは、独自のファイル拡張子を暗号化されたファイルに追加しません。感 染が終了すると、ユーザーのデスクトップから DECRYPT_INFORMATION.html が起動します。

Hermes_2
図 4: Hermes 2.1 ランサムウェア DECRYPT_INFORMATION.html
図 5: ActiveX を有効にするとランサムウェアノートが表示されます

 

興味深いことに、ほぼ同時に、件名とメールヘッダと本文がほぼ同じメールサンプルも観測されま した。ただし、添付ファイルは XML Paper Specification(XPS)ファイルの「invoice.xps」というファイ ルでした。XPS はマイクロソフトの PDF に対する答えであるはずでしたが、Windows には XPS ビュ ーアが組み込まれていました。

Email_sample_xps
図 6: 添付ファイルが「invoice.xps」であり、異なる電子メール署名者が使用されている 図 1 とほぼ同じ電子メールサンプル

 

添付ファイル「invoice.xps」には FixedPage.NavigateUri プロパティがあります。これをクリックする と、ユーザーは hxxp://rainbowrealty[.]com/ads/herewego.html にリダイレクトされます。

Xps
図 7:添付ファイル "invoice.xps"

 

Xps_seg
図 8: 「invoice.xps」には FixedPage.NavigateUri プロパティがあります


残念ながら、この URL はこの執筆時点ではアクセスできなくなりました。もしできていれば、同じラ ンサムウェアや他のマルウェアにつながった可能性があります。それが示すのは、さまざまなファ イル形式とテクニックを使用する同じアクター(犯人)です。


添付ファイルがパスワードで保護された電子メールは、セキュリティが高いという印象を与えるかも しれません。しかし、これまで図示したように、慎重に取り扱う必要があります。悪い人々も、主に 添付ファイルのゲートウェイ検査を回避するために、パスワードを使用することを好むのです。

侵害証跡 IOC:

invoice.doc (38536 bytes)

SHA1: 6A012260238CA51FDDDAB12A5FF6FD2E1957D061

 

azo.exe (393216 bytes)

SHA1: 3900E2E51E8A84A730491771EE05C17EC4596962

 

hrms.exe (393216 bytes)

SHA1: 9DB4EAC9CBF17ACC0233F4D5808DB8F45EAF7B30

 

Invoice.xps (442266 bytes)

SHA1: ec688a10355c52f24f3331b4e6cbbbc23a2f4efc