1月24日、AhnLab ASEC では「2021年 国防部業務報告修正」という文書に見せかけてマルウェアが共に配布されている状況を確認した。このマルウェアの拡張子は以下のように *.pif で作成されて配布されているが、実際のファイルは EXE 拡張子のような実行可能なファイルである。ファイルを開くと以下の [図1] のように、現在国防部のホームページで提供されている正常な PDF ドキュメントの内容と同じファイルがユーザーに表示される。しかし、正常な PDF ドキュメントファイルと共に(ユーザーの知らないうちに)不正なファイル(DLL形式)が生成され、実行される構造を持っている。
- 拡散ファイル名
- 2021년 국방부 업무보고 수정.pif(翻訳:2021年 国防部業務報告修正.pif)
- 生成ファイル
- %原本ファイルのパス%\2021年 国防部業務報告修正.pdf(正常なドキュメント)
- C:\ProgramData\Intel\Driver\driver.cfg (不正なDLLファイル)
生成された不正な DLL ファイルは regsvr32.exe を通して実行され、以下の [図2] のように「Disk0」という名前でタスクスケジューラに登録され、30分ごとに実行される。
最終的に C2 に接続したあと、攻撃者から命令を受けて追加の不正な行為が遂行されるものと見られる。
現在、この不正なファイルは以下のように V3 で診断している。
[ファイルの診断]
- Downloader/Win64.Agent.C4318031
- Trojan/Win64.Agent.C4318029
[関連IoC]
- hxxp://exchange.amikbvx.cf/
- hxxp://imap.pamik.cf/
- 7e041b101e1e574fb81f3f0cdf1c72b8
- 447163d776b62bf0b1c652c996cc0586
Categories:マルウェアの情報