AhnLab ASEC 分析チームでは、対北朝鮮関連、公共機関等に偽装して配布される不正なドキュメントについて継続的に報告している。今回紹介する内容は、米国の投資銀行を騙って配布される不正な DOC(Word)ドキュメントであり、その詐称内容は [図1] の通りである。この不正な DOC(Word)ドキュメントは MAC OS 環境で動作し、感染するとユーザーの PC にバックドアを設置する。

この不正な DOC(Word)ドキュメントは [図2] のように External でダウンロードを行うための不正な URL が記載されている。したがって、このファイルを開くと [図3] のように External 接続を通して不正な URL から不正なドキュメントを追加でダウンロードして実行され、そのファイルに含まれている攻撃者の VBA マクロコードが実行される。


[図4] は追加でダウンロードされる不正なドキュメントに含まれている攻撃者の VBA マクロコードである。このマクロコードによってバックドア機能の不正な JavaScript(acme.js)がダウンロードされて実行される。

[図5] はこの不正な JavaScript(acme.js)のメインコードである。実行すると、ランダムに Sleep を実行して周期的に [図6] の C2 URL と通信を行う。C2 を通して受け取る config ファイルによって自動実行登録、追加の JavaScript の実行、追加のプログラムの実行、感染者の PC 環境照会機能等が実行可能になり、[図7] のような追加機能も存在する。



これらのドキュメントは、海外の投資銀行職員および関連する海外企業に送信された可能性が高い。詐称による社会工学的手法の攻撃が多数増加したこともあり、ユーザーはこのような攻撃によって被害が生じないよう、注意を払わなければならない。当該ファイルは、当社製品において以下のように検知している。
[ファイル検知]
Downloader/DOC.External
Downloader/DOC.Agent
Backdoor/JS.Agent
[IOC 情報]
hxxp://d2h7c4h2guvjrj.cloudfront.net
Categories:マルウェアの情報