ASEC 分析チームは今月初めにターゲット型攻撃と推定される不正な Word ドキュメントを紹介したが、最近このタイプによるマルウェアが新たな内容で配布されていることを確認した。マルウェアは以下のようにメールによって配布されており、韓国国内の夏季学術大会管理者を詐称している。メールには‘[** 하계학술대회]_양력.doc’(翻訳:[**夏季学術大会]_陽暦.doc)が添付されており、当該ファイルの作成を誘導している。
メールに添付された Word ファイルは以下の通りであり、不正なマクロが含まれている。ドキュメントの作成者と前回保存者はどちらも以前発見された「謝金支給依頼書」と一致し、同じ攻撃者によって行われたものと推定される。(https://asec.ahnlab.com/jp/24462/)
このファイルも以前の「謝金支給依頼書」と同じく、単純にファイルを開くだけでは不正な行為が実行しない。ユーザーがドキュメントにテキストを入力する際に不正なマクロが実行される。マクロの実行時、以下の URL からデータを受け取り %APPDATA%\desktop.ini ファイルとして保存する。
- ダウンロード URL: hxxp://daewon3765.cafe24.com/about/down/download.php?filename=[ユーザー名]
以降、以下のように ExcelApp.ExecuteExcel4Macro(cmd) 関数によって Excel で以下のコマンドで desktop.ini ファイルを実行する。現在、追加データを受け取るアドレスへのアクセスが不可能であり、以降の行為は確認されていない。
- call(“kernel32”, “WinExec”, “JFJ”, “wscript //e:vbscript //b “”C:\\Users\\[user名]\\AppData\\Roaming\\desktop.ini”””, 5)
更に当該マルウェアを配布したメールの送信者 ID(kaisjovrnal) を確認した結果、以下のように不正なスクリプトが存在するブログが発見された。
- ブログのアドレス:hxxps://kaisjovrnal.blogspot.com
不正なスクリプトは Base64 でエンコードされており、以前の「謝金支給依頼書」の攻撃者の Web ページ(hxxps://smyun0272[.]blogspot[.]com/2021/06/dootakim[.]html)に存在していたスクリプトと同じ機能を実行する。
スクリプトを実行すると、HKCU\Software\Microsoft\Office[Version].0\Word\Security\VBAWarnings の value を1に変更し、マクロが自動で実行されるようにする。また、ユーザー PC で特定情報を取集して C2 に転送する。29日に確認したスクリプトでは deawon3765.cafe24[.]com を使用していたが、現在は以下のように C2 が変更された。
- 変更前の C2:hxxp://daewon3765.cafe24.com/about/post/info.php
- 変更後の C2:hxxp://taesan109.myartsonline.com/about/post/info.php
| Running 状態のサービスプロセスリスト 最近の実行ファイルリスト ユーザー名 OS 情報 Office バージョン情報 .NET バージョン情報 デスクトップのファイルリスト タスクバーに固定されたリスト |
現在 V3 では、上記で紹介したファイルに対して以下のように検知している。
[ファイル検知]
Trojan/DOC.Agent
Categories:マルウェアの情報