「輸出用インゴットの売買契約書」に偽装した不正な Word ドキュメント

ASEC 分析チームは「輸出用インゴット売買契約書」に偽装した不正な Word ドキュメントを確認し、これについて紹介する。配布されたこのドキュメントの原本は文書タイトルおよび本文内容からして過去に作成されたものと見られ、これを編集して最近配布したものと思われる。

  • 文書タイトル:1MT 거래조건-20140428 .doc (翻訳:1MT 取引条件-20140428 .doc)
  • 文書情報:前回印刷日 – 2014年4月20日
    前回保存日時 – 2021年8月14日

このドキュメントは文書の保護が設定された状態で存在し、内部の不正なマクロが実行されると、保護を解除した後、攻撃者が挿入しておいた画像を削除して本文内容が表示されるようにする。

[図1] – 文書の保護を解除すると確認できる本文内容
[図2] – 保護解除前に挿入されている画像ファイル

注目すべき点は、この文書の保護を解除するパスワードが、過去に ASEC ブログで共有した「対北朝鮮関連の本文内容の不正な Word ドキュメント」で使用されたパスワードと同じであるということである。また、この Word ドキュメントは、海外の Twitter 資料で以下のように Kimsuky 関連の APT マルウェア として当該文書を挙げている。

  • 対北朝鮮関連の本文内容が含まれた不正な Word と同一の、文書の保護を解除するためのパスワード : 1qaz2wsx

https://asec.ahnlab.com/jp/21467/

Sub AutoOpen()
    On Error Resume Next
    Application.ActiveWindow.View.Type = wdPrintView
    Set wnd = ActiveDocument
    wnd.Unprotect “1qaz2wsx”
    ViewPage (“pic”)
    wnd.Save
    Set ob_tmp = Application.Templates
    Dim tmp As Template
    For Each tmp In ob_tmp
    If tmp.Type = 0 Then
        MainPage (tmp.Path)
        Exit For
    End If
    Next
End Sub
[コード1] – 文書の保護解除機能が含まれた関数

この不正なドキュメントは特定のパスに不正な URL にアクセスさせる XML を生成し、wscript.exe で実行させる。最終的に以下の URL に接続して、追加の不正な振る舞いを行うものと思われるが、現在は当該ネットワークが無効化されているため、以降の確認は困難である。

  • XMLの生成先パス : c:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Templates\1589989024.xml
  • 接続 URL : hxxp://regedit.onlinewebshop[.]net/hosteste/rownload/list.php?query=1

常に言及しているように、出どころが不明なドキュメントファイルは閲覧しないように気を付けなければならず、V3 製品を常に最新バージョンにアップデートして使用しなければならない。AhnLab V3 プロダクトラインでは、この不正なドキュメントを以下の通り検知している。

[ファイル検知]
Downloader/DOC.Malscript
Downloader/DOC.Generic.S1649

[IOC]
fd2829488c4172ffc97700fbc523d646
hxxp://regedit.onlinewebshop[.]net/hosteste/rownload/list.php?query=1

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments