米国の投資銀行を騙った不正な Word ドキュメント(External 接続 + VBA マクロ)

AhnLab ASEC 分析チームでは、対北朝鮮関連、公共機関等に偽装して配布される不正なドキュメントについて継続的に報告している。今回紹介する内容は、米国の投資銀行を騙って配布される不正な DOC(Word)ドキュメントであり、その詐称内容は [図1] の通りである。この不正な DOC(Word)ドキュメントは MAC OS 環境で動作し、感染するとユーザーの PC にバックドアを設置する。

[図1] ドキュメントの内容

この不正な DOC(Word)ドキュメントは [図2] のように External でダウンロードを行うための不正な URL が記載されている。したがって、このファイルを開くと [図3] のように External 接続を通して不正な URL から不正なドキュメントを追加でダウンロードして実行され、そのファイルに含まれている攻撃者の VBA マクロコードが実行される。

[図2] settings.xml.rels の内容(不正なドキュメントのダウンロード URL を含む)
[図3] 実行すると不正な DOC をダウンロードして実行

[図4] は追加でダウンロードされる不正なドキュメントに含まれている攻撃者の VBA マクロコードである。このマクロコードによってバックドア機能の不正な JavaScript(acme.js)がダウンロードされて実行される。

[図4] 追加でダウンロードされる不正なドキュメントの VBA マクロコード

[図5] はこの不正な JavaScript(acme.js)のメインコードである。実行すると、ランダムに Sleep を実行して周期的に [図6] の C2 URL と通信を行う。C2 を通して受け取る config ファイルによって自動実行登録、追加の JavaScript の実行、追加のプログラムの実行、感染者の PC 環境照会機能等が実行可能になり、[図7] のような追加機能も存在する。

[図5] ダウンロードされる acme.js のメインコード
[図6] バックドア JavaScript の C2 URL
[図7] ダウンロードされる acme.js の追加機能

これらのドキュメントは、海外の投資銀行職員および関連する海外企業に送信された可能性が高い。詐称による社会工学的手法の攻撃が多数増加したこともあり、ユーザーはこのような攻撃によって被害が生じないよう、注意を払わなければならない。当該ファイルは、当社製品において以下のように検知している。

[ファイル検知]
Downloader/DOC.External
Downloader/DOC.Agent
Backdoor/JS.Agent

[IOC 情報]
hxxp://d2h7c4h2guvjrj.cloudfront.net

5 1 vote
評価する
Subscribe
Notify of
guest

0 コメント
Inline Feedbacks
View all comments