昨日(2020.04.09)、当社は国会議員の選挙に関連する文書形式のマルウェアが出回っていることを公開した。この文書は、単独で国会議員の選挙に関連する文書かどうか判断できないが、他の文書のマクロによって発現することを確認した。特定の状況においてのみ選挙と関連する文書の内容が確認できるように巧妙に作られており、特定のシステムをターゲットにしたものと思われる。このマルウェアは、これまでに知られている kimsuky グループの攻撃であると確認され、追加の内容を共有する。
「WORD 1」は [図1] のように settings.xml.rels に明示されたアドレスの「saemaeul.mireene.com」ドメインに接続し、現在は追加データがダウンロードされないが、ダウンロードに成功すると生成されるドキュメント「WORD 2」においても、同じドメインへの接続を試みている。このドメインは、これまで認知されてきたように kimsuky グループが攻撃に使用してきた mireene.com のホスティングサーバーであり、今回も同様に利用していた。
そして「WORD 1」と「WORD 2」、およびこれまでに類似した形で拡散されたドキュメントでは英語で作成されているように見えるが、内部プロパティには韓国語の設定内容が含まれている。また興味深いことに、「WORD 1」の作成者の名前も韓国人のようにしか見えない名前で作成されている。
「WORD 1」は単独実行だけでは、国会議員の選挙に関連する文書内容が確認できない。[図3] のように内部(document.xml)に関連する内容は含まれているが、単独では発現せず「WORD 2」のマクロが同時に動作すると当該内容が発現する。
「WORD 1」は、編集制限がかかっており、単独実行すると編集が不可能だが、「WORD 2」マクロ内部にパスワードを含んでおり、「WORD 2」を通さないと修正ができない構造になっている。すなわち、「WORD 2」が連結されたシステムだけが「WORD 1」の実行時に国会議員の選挙に関連する内容を確認できるということである。したがって、これは特定のシステムをターゲットにしているものと推定される。
「WORD 2」のマクロによって「WORD 1」が再構成されると、ファイル自体のデータが一部削除されて新しく保存される。これによって、ファイルサイズが減少する。「WORD 2」マクロはユーザー情報を特定サーバーに送信し、タスクスケジューラを登録して生成されたVBSを5分ごとに実行するようにし、特定ネットワークアドレスに接続を試みる。(ネットワークアドレスは [図1] を参照)
このように、kimsuky グループはドキュメントを利用した攻撃を継続的に実行していることがわかっており、当社では今後も様々な攻撃のマルウェアを分析して共有を続けていく予定である。
ユーザーは、未確認のドキュメントを使用するにあたって特に注意が必要であり、現在 V3 では、上記のような不正なドキュメントを 次のような診断名で診断している。
- XML/Dloader (2020.04.10.00)
- Downloader/Doc.Generic (2020.04.10.00)
Categories:マルウェアの情報