北朝鮮と関連あるものと推定されるグループが PDF ドキュメントによるターゲット型攻撃をしたことが確認された。攻撃グループは、Kimsuky あるいは Thallium と推定されるが、これを模倣した攻撃グループの仕業である可能性もある。関連する内容はすでにメディアが報道した内容であるが、このブログでは、公開されていない IOC と脆弱性発現環境等の解析情報を追加で公開する。
攻撃者は、PDF ドキュメントファイルを攻撃のおとりとして利用していた。Adobe Acrobat プログラムの脆弱性によって PDF ドキュメントに含まれている不正な JavaScript を実行し、システムメモリで不正な EXE ファイル – ファイル番号[2]、[4]を実行する。Use-After-Free の脆弱性 CVE-2020-9715 を利用したものと見ている。現在はセキュリティ更新プログラムによってパッチが完了した脆弱性であり、アップデートされていない Adobe Acrobat プログラムのユーザーが攻撃被害を受けることがある。
不正な PDF ドキュメントファイルは、合計7つが確認されている。脆弱性のテスト用途(PoC)を除き、実際に攻撃に利用されているものと見られるファイルは4つ – ファイル番号[1]、[3]、[11]、[12]である。共通して南北関係に関する内容を含んでいるため、これに関連する個人または組織をターゲットに攻撃したものと見られる。PDF ドキュメントファイルを利用した攻撃は従来のターゲット型攻撃では多く発見されなかったため、新たな攻撃方式であると見ることができる。
また、これとは別に配布経路が正確に確認されていない不正な DLL ファイルが3つ – ファイル番号[8]、[9]、[10]が発見された。機能は[2]、[4]の EXE ファイルと非常に類似しているが、ファイルのタイプと配布形式が異なるという違いがある。まだ発見されていない PDF ファイルや、他の経路を通じて配布されている可能性がある。
| 番号 | ファイル名 (ドキュメント内容) | ファイルのタイプ |
| 1 | 第4期 AMP 案内資料.pdf | PDF ファイル |
| 2 | なし(ファイルレス) | EXE ファイル |
| 3 | 南北首脳合意国会批准同意と朝鮮半島の平和体制実現政策討論会に関する内容 | PDF ファイル |
| 4 | なし(ファイルレス) | EXE ファイル |
| 5 | Adobe DC マニュアルの内容 | PDF ファイル |
| 6 | Adobe DC マニュアルの内容 | PDF ファイル |
| 7 | Adobe DC マニュアルの内容 | PDF ファイル |
| 8 | ccom1.down | DLL ファイル |
| 9 | ccom2.down | DLL ファイル |
| 10 | ccom3.down | DLL ファイル |
| 11 | インタビューアンケート-チェ・ウンユル(韓国語).pdf | PDF ファイル |
| 12 | 05_64-1 チョン・ヨンボン経営革新理論から見た本国防改革の方向修正.pdf(ファイル未収集) | PDF ファイル |
PDF ドキュメントファイル
今回の攻撃に利用された不正な PDF ドキュメントファイルである。PDF ファイルの配布経路は確認されておらず、攻撃対象も明らかになっていない。しかし、ドキュメントの内容には共通して南北関係に関する内容が含まれており、これに関連する個人または組織をターゲットとして攻撃したものと推定している。攻撃者が実際に存在するドキュメントをオンライン上で入手し、マルウェアを追加したものと見られる。– 各ファイル番号[1]、[3]、[11]、[12]
脆弱性のテスト用途(PoC)と見られる不正な PDF ドキュメントファイルは、Adobe DC のマニュアルがオリジナルのドキュメントである。全部で3個が発見されており、内部に含まれた JavaScript と最終的に実行する機能が単純な計算機プログラムの実行にとどまっている点を理由に、テスト用途のファイルと見ている。VirusTotal のサイトに2021年5月にアップロードされており、攻撃者はこの時から攻撃を準備していたものと見られる。
PDF ファイルの内部オブジェクトを見ると、JavaScript オブジェクトが存在することを確認できる。攻撃者はアップデートが行われていない Adobe Acrobat プログラムが JavaScript オブジェクトを処理する過程で発生する脆弱性 CVE-2020-9715 を利用している。脆弱性を誘発する JavaScript コードを見ると、一般的に大衆が使用する無料バージョンである Acrobat Reader ではサポートしていない API「this.createDataObject」が使用されている。これは、攻撃対象が Acrobat Pro DC のような有料版製品を使用しているものと見て、その製品でのみ脆弱性コードが動作するように製作されたものと思われる。
| this.createDataObject(“abname”,“qwer”); |
ファイル番号[1]、[3]の PDF ファイルに含まれた JavaScript コードは同じようなファイルサイズのスクリプトであって、難読化の内容が非常に類似している。以下は JavaScript コードの一部である。エンコードされた文字列を復号する機能を実装したものであり、最終的に実行する機能はメモリに不正な EXE ファイルの実行である。- 各ファイル番号[2]、[4]を実行
PE 実行ファイル – EXE ファイル
PDF ドキュメントファイルから始まり、メモリで実行される EXE ファイルは、Microsoft Visual C++ で製作されたファイルである。外部の C&C アドレスに接続し、特定のファイル名でファイルをダウンロードして実行することが主な機能である。すなわち、追加のファイルダウンロードを目的としている。現在はすべての接続が不可能となっており、どのようなファイルをダウンロードするのかは確認できていない。
[2]番の EXE ファイル
hxxp://tksRpdl.atwebpages.com/ccom2/download.php?filename=ccom2 接続
%AppData%\adobe\AdobeAdv.dll のファイル名でダウンロード
[4]番の EXE ファイル
hxxp://dktkglrkshqhfn.atwebpages.com/ccom2/download.php?filename=ccom2 接続
%Appdata%\$tmp~1\window のファイル名でダウンロード
PE 実行ファイル – DLL ファイル
PDF ドキュメントファイルのパスに配布されたかどうかがわからない不正な DLL ファイルも3つが確認された。まだ未発見の PDF ファイルを通して配布されている可能性もあるが、別の経路を通して配布されている可能性もある。しかし、同じような時期に発見され、実行する機能も EXE ファイルと酷似しているため、関連ファイルであるものと確認できる。
DLL ファイルは共通点として完全な PE 実行ファイルではなく、0xFE キーで XOR エンコードされたバイナリとして発見されたことが特徴である。デコードの主体やメイン機能となる特定の Export 関数「FirstFunction」を実行できるようにするプロセスの実行情報も、確認されなかった。そして、VMProtect というプロテクターを利用してコード解析を困難にしている。
DLL ファイルもやはり外部の C&C アドレスに接続し、特定のファイル名でファイルをダウンロードして実行することが主な機能である。すなわち、追加のファイルダウンロードを目的としている。現在はすべての接続が不可能となっており、どのようなファイルをダウンロードするのかは確認できていない。
[8]番の DLL ファイル – ファイル名 ccom1.down
hxxp://dkekftks.atwebpages.com/ccom1/post.php 接続
hxxp://dkekftks.atwebpages.com/ccom1/download.php?filename=ccom1 接続
%AppData%\window\tmp~223\SecAv.dll のファイル名でダウンロード
[9]番の DLL ファイル – ファイル名 ccom2.down
hxxp://tktlal2.atwebpages.com/ccom2/post.php 接続
hxxp://tktlal2.atwebpages.com/ccom2/download.php?filename=ccom2 接続
%AppData%\window\tmp~897\SecAv.dll のファイル名でダウンロード
[10]番の DLL ファイル – ファイル名 ccom3.down
hxxp://tktlal3.atwebpages.com/ccom3/post.php 接続
hxxp://tktlal3.atwebpages.com/ccom3/download.php?filename=ccom3 接続
%AppData%\window\tmp~897\SecAv.dll のファイル名でダウンロード
攻撃グループの推定背景
アンラボでは、今回の攻撃を北朝鮮に関連するグループによるものと推定している。攻撃グループは、Kimsuky あるいは Thallium と推定されるが、これを模倣した攻撃グループの仕業である可能性もある。攻撃グループの推定背景は以下の通りである。
- DLL ファイルの Export DLL Name である「Tran_dll.dll」、Export 関数名「FirstFunction」を使用した従来の不正なファイルの全数を調査した結果、コードスタイルが同じ製作者、またはグループであると判断できる
- 過去の不正なファイルの攻撃グループは Kimsuky あるいは Thallium グループであると見ている
- atwebpages.com ドメインを利用した C&C サーバー方式、または C&C 接続方式パターンは、これまでに公開されてきた Kimsuky あるいは Thallium グループと類似している
検知および IOC 情報
ファイル検知
Exploit/PDF.FakeDocu (2021.08.03.03)
Exploit/PDF.FakeDocu.S1627 (2021.08.06.03)
Exploit/PDF.FakeDocu.S1628 (2021.08.06.03)
Trojan/BIN.EncPE (2021.08.03.03)
Trojan/Win.Agent (2021.08.03.03)
Trojan/Win.Akdoor (2021.08.04.00)
ビヘイビア検知
Fileless/MDP.Thallium.M3808 (2021.08.06.03)
Exploit/MDP.CVE-2020-9715.M3809 (2021.08.06.03)
関連 IoC
70294ac8b61bfb936334bcb6e6e8cc50
ffe39eb91e0247fb13bd8fd8152f61a3
de2a8a728f81d44562bfd3e91c95f002
df2ea74328ad43c4225cb6c8aa56f340
a0c7e9dc69e439cb431e6dea9f0d5930
a67b0c89812e9517178b8581ff830a38
906b43cb893e0a57404c8f17085a1f24
be4daa6400a6e417270e17b67a44ca97
aa5a3f19e5f7d15b6af37a4f2c8215ee
8b1606f4f2df5d95e00411b4057b3da1
29b28e79d86e4395e223d44d60b14ff4
c9c7d70174e8be8b2cebfeb125be2672
b31aaabc8b39f2854ace7680b34322fe
6d6399e5e98164e365029a9b141e1646
hxxp://tksRpdl[.]atwebpages[.]com
hxxp://dktkglrkshqhfn[.]atwebpages[.]com
hxxp://dkekftks[.]atwebpages[.]com
hxxp://tktlal2[.]atwebpages[.]com
hxxp://tktlal3[.]atwebpages[.]com
hxxp://rhwkdlaktm[.]atwebpages[.]com
Categories:マルウェアの情報