AhnLab ASEC 分析チームは5月、様々なテーマ別に出回っているアレアハングル(HWP)ドキュメントのマルウェアに関して、ブログで共有した。「不動産関連」というタイトルで拡散していたものから、最近では韓国国内の学術大会の日程に合わせ、論文や学術関連のタイトルによるマルウェアが製作されていることが確認された。
現在までに確認された不正なアレアハングルドキュメントのタイトルは以下の通り2種類であり、上記ブログで分類したテーマのうち、「その他」の項目に該当する手法であると確認された。このアレアハングルドキュメントの特徴は、実行するとユーザーに正常な本文内容が表示されず、不正な2次ファイルのダウンロード行為のみが実行される点である。
- 2020_XXXX_超伝導論文.hwp
- 学術大会.hwp
マルウェアの製作者は、韓国国内の学会誌の夏季論文投稿期間が主に5月から7月までであることを狙ったものであると推定される。収集された不正な HWP ファイルは、以前紹介した内部 EPS(Encapsulated PostScript)スクリプトと不正な行為が同一であることがわかる。
アンチウイルスプログラムによる診断を回避するために、スクリプト内部にスペースを追加したり、変数名を変えて拡散している。さらに、最も重要なシェルコードおよび XOR でエンコードされたシェルコードを解読するためのキー情報は、過去に共有したものと同じであることが確認された。すなわち、同じ製作者によって様々なタイトルを用いて拡散されているものと推定される。
EPS に内蔵されたシェルコードは、C2 サーバーから不正な2次ファイル(*.BAT、*.CAB)をダウンロードする。ダウンロードされた CAB 形式の圧縮ファイル内部には以下のようなファイルが含まれており、ユーザー PC の特定情報を収集し、C2 サーバーに送信および追加ダウンロード行為を実行する。
このアレアハングルドキュメントを実行した場合、内部 EPS コードによる詳細な動作プロセスは以下の通りである。
1段階) スクリプトのダウンロード
復号化されたシェルコードはバッチスクリプト(「no1.bat」)と Base64 でエンコードされた CAB 圧縮ファイル(「vbs.txt」)をダウンロードする。
cab 圧縮ファイル内部には、以下の通り複数のスクリプトが存在する。
- hxxp://resulview.com/5hado/no1.txt
- hxxp://resulview.com/5hado/vbs.txt
2段階) 自動実行登録
– 自動実行のために Run キーの登録を行う。
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- 「svchostno2」に CAB 圧縮ファイル内部の start.vbs を登録
3段階) 情報収集およびアップロード
– 以下のユーザーPC情報を収集し、不正なC2 (hxxp://resulview.com/5hadr/upload.php)に送信する。
- ダウンロード(downloads)フォルダリスト
- ドキュメント(documents)フォルダリスト
- デスクトップ(desktop)
- インストールされたプログラム(Program Files)リスト
- ユーザーPCのIPアドレス
- 現在実行しているプロセス(tasklist)リスト
- ユーザーPCのシステム情報(systeminfo)
4段階) 追加ダウンロード
このマルウェアに感染した PC は、攻撃者が追加で活動を行えるようにするダウンロード機能が存在する。したがって、PC 情報の流出だけでなく、2次感染も予想される。ここでダウンロードしたファイルは圧縮ファイルと推定され、内部ファイルである「temprun.bat」を通して実行されるものと見られる。また、「pakistan.txt」の存在の有無によって当該スクリプトを終了するかどうかを決定するようになっている。
- ダウンロードアドレス:hxxp://resulview.com/5hado/%COMPUTERNAME%.txt
この不正な HWP ファイルの配布元では現在「NAVERブログ訴訟の件.hwp」というファイル名でも拡散しており、未確認のドキュメントファイルはむやみに開いてはならない。(C2、URL等、主な機能は学術情報形式と同じ)
現在V3は、次のような診断名で診断している。
- Exploit/HWP.Generic (2020.06.04.05)
- EPS/Exploit.mexp (2020.02.08.00)
- Malware/MDP.Execute.M1473
Categories:マルウェアの情報