AhnLab ASEC 分析チームは以前対北朝鮮に関する内容を含んだ不正な DOC(Word)ドキュメントについて紹介した。この形式は文書内部の XML ファイルに作成された「外部 External 接続アドレス」にアクセスし、追加ファイルをダウンロードする構造である。
最近になって、この方式を利用した不正な Word ドキュメントが軍事安保月刊誌(4月号)に偽装し、拡散していることが確認された。現在拡散しているファイル名は以下の通りである。
- 월간KIMA2021_4월호군사안보0330.docx (翻訳:月刊KIMA2021_4月号軍事安保0330.docx)
- 월간KIMA2021_4월호군사안보0331.docx (翻訳:月刊KIMA2021_4月号軍事安保0331.docx)
Word ファイルを開くと、本文内容が保護されている状態であり、保護を解除すると、次のような本文内容が確認できる。
この文書がアクセスする不正な External アドレスは以下の通りである。
- Target=”hxxp://beilksa.scienceontheweb.net/cookie/select/log/tmp?q=6″ TargetMode=”External”/>
現在、確認された2つの Word ドキュメントの情報から確認できる更新日時と作成者の情報は以下の通りである。
実際、正常に配布された文書は以下の [図4] のような PDF 形式であることが確認できる。
最近になって、対北朝鮮に関する文書内容を含んでいる不正な Word ドキュメントが多く拡散している。この Word ドキュメントは北朝鮮と関連する業務を行う相手に送られている可能性が非常に高い。スパムメールによる社会工学的手法の攻撃が多数増加したこともあり、ユーザーはこのような攻撃によって被害が生じないよう、注意を払わなければならない。
現在 V3 製品では、当該ファイルに対して以下の通り診断している。
[ファイル診断]
- Downloader/DOC.External (2021.04.03.00)
[IOC]
- 월간KIMA2021_4월호군사안보0331.docx (md5: fe4dd316363d3631c83c2995dd3775f4)
- 월간KIMA2021_4월호군사안보0330.docx (md5: 609c2473571bf703ce985b6e44b8e343)
- hxxp://beilksa.scienceontheweb.net/cookie/select/log/tmp?q=6
Categories:マルウェアの情報