トレンドマイクロのリサーチャーは、不正なMicrosoft Excel 4.0マクロを含むシートを「VeryHidden」形式で非表示設定し、隠蔽する手口を確認、その詳細解析を行いました。Microsoftのドキュメントに記載されている通り、VBAマクロを使用してブック内のシートが非表示にされている場合、Microsoft Excelの一般機能からはシートを操作することができません。この不正マクロを含む不審なファイルは、スパムメールの添付ファイルとして使用されていました。
問題のファイルを開くと、「編集を有効にする」ボタンをクリックしてから、「コンテンツを有効にする」ボタンをクリックするよう要求するメッセージが表示されます。ユーザがこれらのボタンをクリックすると、気づかぬうちにマクロが有効化されることになります。
」をクリックし、次に「Enable-content(コンテンツを有効にする)」をクリックするよう促すファイル.png)
不正なマクロの存在を確認するためVisual Basic Editor(VBE)を開きましたが、マクロは確認できませんでした。次にOLE2ファイルを分析するための解析ツールを使用してファイル構造を調査したところ、「VeryHidden(再表示不可の非表示)」に設定された「G5U1D5zEis」という名前のマクロシートが見つかりました。この設定による非表示シートは、シート一覧には表示されずExcelの一般機能からはシートを操作することができないため、再表示させるには他の方法を利用する必要があります。
ファイルを変換して非表示であったシートを再表示させ、これによりドキュメントのコンテンツが明らかになりました。
難読化を解除した結果、ドキュメントが開かれた時に実行されるよう設定されているいくつかの書式と、呼び出されるURL「hxxps://<省略>/ehrj4g9g」が確認できました。
最近作成されたばかりであるこのURLは、セキュリティ企業「Intel 471」への類似した攻撃で使用されていたURLと同じものでした。以下はオンラインスキャンサービス「VirusTotal」で確認された、関連するURLです。
- hxxp://grpxmqnrb<省略>pw/
- hxxps://grpxmqnrb<省略>pw/
- hxxp//grpxmqnrb<省略>pw/egrg4g3g
- hxxps//grpxmqnrb<省略>pw/egrg4g3g
- hxxp://grpxmqnrb<省略>pw/ehrj4g9g
- hxxps://grpxmqnrb<省略>pw/ehrj4g96
また、上記のURLへの通信を実行するExcelファイルについてVirusTotal上の検体を確認したところ、トレンドマイクロで入手した検体と同様のファイル名構造が用いられていました。これらのドキュメントの一部は、スパムメールの添付ファイルとして利用されていました。
- 1585059781-0ee5a944b4d8dc80001-29H5dr.eml (電子メールファイル)
- 9df947a72e47676383d648858ee063c703a8f455454f1c6df8272a564a3456b5
- Info 122077.xls
- Info180.xls
- info-407759.xls
- Info_50930.xls
- Info.520513.xls
- info.57078.xls
- Info_64422.xls
- notif 1111.xls
トレンドマイクロの入手検体から呼び出されるURL「hxxps://grpxmqnrb<省略>pw/ehrj4g9g」は、「hxxps://github<省略>com/arntsonl/calc_security_poc/raw/master/dll/calc.dll」にリダイレクトされます。このリダイレクト先にあるファイルはWindows標準の計算機アプリである「calc.exe」を実行するものでした。ただし、これは追跡を免れるためのおとりのペイロードである可能性があります。
2020年4月6日時点で、マクロから呼び出されるURLは名前解決できず、アクセス不可となっています。これらのURLの構造や使用されている手法、マクロコードは、ペイロードとして「Zloader」と呼ばれるマルウェアを配信する攻撃キャンペーンで使用されているものと類似しています。調査時点では最終的なマルウェアのダウンロードは確認できませんでしたが、同じ手口により、別のリダイレクト先とペイロードに変更して活動を再開する可能性もあります。
■被害に遭わないためには
攻撃者は、無害なファイルを装い不正なコードを隠蔽しますが、時々新しいファイル形式をテストします。ファイルは大抵、新型コロナウイルス(COVID-19)の流行などその時々で注目度の高いニュースに便乗してユーザの注意を引き、添付ファイルを開封させるなど、ソーシャルエンジニアリングの手法を用いたスパムメールを通じて拡散されます。中には、信用されやすいように知名度の高い正規の組織や企業を偽装する場合もあります。
被害に遭わないために、信頼できない送信者からのメールの添付ファイルをダウンロードする、あるいは埋め込みリンクをクリックすることのないようにしてください。公的機関からのメールとされる場合でも、そのような周知メールについて公式Webサイトで確認するか、あるいはサイトに記載の連絡先に連絡しメールが本物であるかどうかを確認してください。メール本文の文章についても注意することができます。不自然な文章や間違いは、多くの場合、スパムメールであることの裏付けとなります。また、セキュリティソリューションを活用することによってメールを介したマルウェアの侵入をブロックすることを推奨します。
■侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡(Indicators of Compromise、IoCs)はこちらを参照してください。
※調査協力:Mhica Angel Romero
参考記事:
翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)