5月10日に、AhnLab ASEC 分析チームはコロナウイルス(COVID-19)によりフードデリバリーの消費が急増している中、攻撃者がデリバリーアプリをだしにしてマルウェアを配布していることを確認した。
- 주문할게요 앱.zip (翻訳:注文お願いします アプリ.zip)(圧縮ファイル名)
- 주문할게요 앱\마케팅.docx (翻訳:注文お願いします アプリ\マーケティング.docx)(圧縮ファイル内部の XML External ドキュメントのマルウェア)
- 주문할게요 앱\수정사항.docx (翻訳:注文お願いします アプリ\修正事項.docx)(圧縮ファイル内部の XML External ドキュメントのマルウェア)
(今回発見された不正な zip ファイルに使用されているファイル名は正常なアプリケーションとは全く関連性がなく、攻撃者が当該アプリ名を盗用したものと見られる)
攻撃者が使用した XML External 手法は、過去の ASEC ブログで紹介している。
- https://asec.ahnlab.com/jp/23020/ (米国の投資銀行を騙った不正な Word ドキュメント(External 接続 + VBA マクロ))
このような攻撃方法は MS Office Open XML(OOXML)ドキュメントのフォーマットのテンプレート(Template)属性を通して実際の不正なマクロを外部から読み込んで実行する。この攻撃手法をテンプレートインジェクション(Template Injection)手法という。

- https://attack.mitre.org/techniques/T1221/ (MITRE 参考:Defense Evasion – Template Injection 手法の紹介)

MITRE ATT&CK でもこの手法を検出回避(Defense Evasion)に分類したように、不正なマクロが最初のドキュメントファイルに存在せず、External によって追加でダウンロードされるドキュメントファイルに存在するため、セキュリティプログラムでは最初のドキュメントファイルだけで不正かどうかを判別するのが難しい。
Template 属性の External によって最終的に実行された DOTM ファイルに存在する不正なマクロの機能は、以下の通りである。

- hxxp://kr2959.atwebpages.com/view.php?id=2 に接続して cvwiq.zip をダウンロードおよび圧縮解凍 -> C:\Users\Public\wieb.dat パスに PE 実行ファイルを生成
- C:\Users\Public\nwib.bat ファイル生成および実行 -> “rundll32.exe “C:\Users\Public\wieb.dat” Run”, “del /f /q %0″” コマンド実行

nwib.bat ファイルによって実行される wieb.dat は rundll32.exe によって実行され、追加の不正なペイロードをダウンロードして実行する。
最終的に実行されたペイロードは以下のような機能を実行する。
- キーロガー
- システム情報の収集(ipconfig /all、systeminfo、tasklist)
- クリップボードデータの収集
- 収集した情報を C&C に送信
このようなテンプレートインジェクション手法を利用した攻撃は現在、公共機関、大企業等、韓国国内の不特定多数にスパムメールの形式や Web サイトを通じて拡散している状況が確認されており、ユーザーは特に注意が必要である。
したがって、ユーザーは出どころが不明なメールを閲覧しないようにし、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるようにしなければならない。
[ファイル検知]
- Malware/Win.Generic.C4465648 (2021.05.11.01)
- Trojan/Win.Akdoor.C4468947 (2021.05.13.00)
- Downloader/DOTM.External (2021.05.13.00)
[IOC]
- hxxp://kr2959.atwebpages.com/view.php?id=1
- hxxp://kr2959.atwebpages.com/view.php?id=2
- hxxp://kr2959.atwebpages.com/sel.php
- hxxp://kr2959.atwebpages.com/buy.php
- hxxp://kr2959.atwebpages.com/view.php?id=21504
Categories:マルウェアの情報