コンパイル済HTMLヘルプファイルからMerlinAgent

コンパイル済HTMLヘルプファイルというものがあります。
拡張子は「.CHM」です。
CHMファイルは、通常、アプリケーションのヘルプファイルを保存する際に利用されるもので、 電子書籍の配布の際に利用されることもあります。
このファイルを使う攻撃キャンペーンが確認されています。

• Webページにリンクを配置する
  CHMファイルをWebページから参照できるように設置します。
  利用者が見たいと思うコンテンツの中に配置するだけで準備は完了です。
  CHMファイルは通常のWebブラウザで閲覧することができますので、特別な準備は必要ありません。

   

• 被害者がCHMファイルを閲覧する
  CHMファイルを閲覧します。
  加工されたCHMファイルのなかには、JavaScriptコードブロックが含まれます。
  この部分が実行開始されます。

   

• PowerShellワンライナー
  次にJavaScriptコードはPowerShellワンライナーを実行します。
  PowerShellワンライナーは、C2サーバに接続して難読化されたバイナリペイロードをダウンロードします。
  このワンライナーを含むJavaScriptコードは高度に難読化が施されているため、2023年9月25日時点では脅威を検出できるセキュリティ製品は1つもありませんでした。

   

• MerlinAgentの設置
  PowerShellワンライナーの取得したバイナリは暗号化されています。
  ペイロードを入手したワンライナーはそのバイナリを復号化して設置します。
  ここでC2との通信が開始され、マルウェアの活動が開始されます。

   

• MerlinAgent
  MerlinAgentはGithub で入手できるオープンソースのコマンドおよび制御フレームワークです。
  MerlinAgentフレームワークは、Goで書かれたもので、Cobalt StrikeやSilverなどと同じような機能性を持っています。
  TLSによる暗号化C2通信、リモートコマンドシェル、Mimikatzなどのモジュールを使うことができる機能、EXEやDLLの実行機能、といった機能が利用できます。
  レジストリのログイン時自動実行の部分にエントリーが追加されますので、設置以降はログインするたびにマルウェアが起動される状態になります。

CHMファイル自体のサポートは2007年に終了していますが、CHMファイルは現時点でも各種ブラウザで閲覧できます。
サポートが終了しているということは、今後この機能は基本的には変更される予定がないということだと考えられます。

このCHMファイルを悪用した攻撃手順では、被害者は単にWebを閲覧していただけで被害にあう構造になっています。
セキュリティの意識が高まってきて、ファイルを入手する際にはその入手元を意識しようということは浸透してきているかもしれませんが、Webページを閲覧しただけで被害を受けるコンテンツがあることを知り、閲覧するコンテンツのことを意識してWebを閲覧できている人はまだ多くないように思えます。
便利にいろいろな情報が簡単に手に入る世の中になっていますが、便利さと一緒に危険もすぐ近くにあるということなのかもしれません。

参考記事（外部リンク）：Securonix Threat Labs Security Advisory: New STARK#VORTEX
Attack Campaign: Threat Actors Use Drone Manual Lures to Deliver
MerlinAgent Payloads
www.securonix.com/blog/threat-labs-security-advisory-new-starkvortex-attack-campaign-threat-actors-use-drone-manual-lures-to-deliver-merlinagent-payloads/