ASEC 分析チームは「輸出用インゴット売買契約書」に偽装した不正な Word ドキュメントを確認し、これについて紹介する。配布されたこのドキュメントの原本は文書タイトルおよび本文内容からして過去に作成されたものと見られ、これを編集して最近配布したものと思われる。
- 文書タイトル:1MT 거래조건-20140428 .doc (翻訳:1MT 取引条件-20140428 .doc)
- 文書情報:前回印刷日 – 2014年4月20日
前回保存日時 – 2021年8月14日
このドキュメントは文書の保護が設定された状態で存在し、内部の不正なマクロが実行されると、保護を解除した後、攻撃者が挿入しておいた画像を削除して本文内容が表示されるようにする。
注目すべき点は、この文書の保護を解除するパスワードが、過去に ASEC ブログで共有した「対北朝鮮関連の本文内容の不正な Word ドキュメント」で使用されたパスワードと同じであるということである。また、この Word ドキュメントは、海外の Twitter 資料で以下のように Kimsuky 関連の APT マルウェア として当該文書を挙げている。
- 対北朝鮮関連の本文内容が含まれた不正な Word と同一の、文書の保護を解除するためのパスワード : 1qaz2wsx
https://asec.ahnlab.com/jp/21467/
| Sub AutoOpen() On Error Resume Next Application.ActiveWindow.View.Type = wdPrintView Set wnd = ActiveDocument wnd.Unprotect “1qaz2wsx” ViewPage (“pic”) wnd.Save Set ob_tmp = Application.Templates Dim tmp As Template For Each tmp In ob_tmp If tmp.Type = 0 Then MainPage (tmp.Path) Exit For End If Next End Sub |
この不正なドキュメントは特定のパスに不正な URL にアクセスさせる XML を生成し、wscript.exe で実行させる。最終的に以下の URL に接続して、追加の不正な振る舞いを行うものと思われるが、現在は当該ネットワークが無効化されているため、以降の確認は困難である。
- XMLの生成先パス : c:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Templates\1589989024.xml
- 接続 URL : hxxp://regedit.onlinewebshop[.]net/hosteste/rownload/list.php?query=1
常に言及しているように、出どころが不明なドキュメントファイルは閲覧しないように気を付けなければならず、V3 製品を常に最新バージョンにアップデートして使用しなければならない。AhnLab V3 プロダクトラインでは、この不正なドキュメントを以下の通り検知している。
[ファイル検知]
Downloader/DOC.Malscript
Downloader/DOC.Generic.S1649
[IOC]
fd2829488c4172ffc97700fbc523d646
hxxp://regedit.onlinewebshop[.]net/hosteste/rownload/list.php?query=1
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報