「2021年 国防部業務報告修正」文書に偽装したマルウェアの拡散

1月24日、AhnLab ASEC では「2021年 国防部業務報告修正」という文書に見せかけてマルウェアが共に配布されている状況を確認した。このマルウェアの拡張子は以下のように *.pif で作成されて配布されているが、実際のファイルは EXE 拡張子のような実行可能なファイルである。ファイルを開くと以下の [図1] のように、現在国防部のホームページで提供されている正常な PDF ドキュメントの内容と同じファイルがユーザーに表示される。しかし、正常な PDF ドキュメントファイルと共に(ユーザーの知らないうちに)不正なファイル(DLL形式)が生成され、実行される構造を持っている。

  • 拡散ファイル名
    • 2021년 국방부 업무보고 수정.pif(翻訳:2021年 国防部業務報告修正.pif)
  • 生成ファイル
    • %原本ファイルのパス%\2021年 国防部業務報告修正.pdf(正常なドキュメント)
    • C:\ProgramData\Intel\Driver\driver.cfg (不正なDLLファイル)
[図1] 生成された正常な「2021年 国防部業務報告修正.pdf」

生成された不正な DLL ファイルは regsvr32.exe を通して実行され、以下の [図2] のように「Disk0」という名前でタスクスケジューラに登録され、30分ごとに実行される。

30分単位で実行されるようにスケジュールに登録
[図2] 2021年1月23日にコンパイルされた不正な DLL

最終的に C2 に接続したあと、攻撃者から命令を受けて追加の不正な行為が遂行されるものと見られる。

現在、この不正なファイルは以下のように V3 で診断している。

[ファイルの診断]

  • Downloader/Win64.Agent.C4318031
  • Trojan/Win64.Agent.C4318029

[関連IoC]

  • hxxp://exchange.amikbvx.cf/
  • hxxp://imap.pamik.cf/
  • 7e041b101e1e574fb81f3f0cdf1c72b8
  • 447163d776b62bf0b1c652c996cc0586
5 3 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments