最近 ASEC 分析チームは、Word ドキュメントを利用して APT 攻撃を試みるマルウェアの動向を継続的に把握しており、関連内容を共有している。今回は以前の記事で Kimsuky グループが製作・拡散していた「제헌절 국제학술포럼.doc (翻訳:制憲節国際学術フォーラム.doc)」、「제28차 남북관계전문가토론회***.doc (翻訳:第28回南北関係専門家討論会***.doc)」などのドキュメントファイルから生成されたマルウェアと同じコードを使用した不正なファイルが追加で確認されたため、その内容を共有する。このファイルはテスト段階のファイルと見られ、Kimsuky グループが類似するマルウェアを製作し、テストしているものと推定される。
https://asec.ahnlab.com/jp/23875/
kakaoTest.exe というファイル名で製作されたこのファイルは、以下のように test.ini ファイルから様々な情報を読み込み、Daum にログインする。
ini ファイルに作成されていると見られる user 名と password で Daum アカウントへログインを試み、成功すると ini ファイルに作成されているものと見られる file Value 値で明示された特定ファイルをアップロード、および receiver に送信する。
Daum メールアカウントにログインし、特定ファイルを送信する機能は、以前「正常な Excel/Word ドキュメントに偽装したマルウェア」で取り上げた pagefile.sys ファイルでも使用された。不正な振る舞いだけではなくコードも類似した方式で作成されており kakaoTest.exe も同じ攻撃グループが製作したファイルと推定されている。
Pagefile.sys ファイルはユーザー PC で情報を収集し、特定のメールに送信する振る舞いを実行し、メール送信機能を実行するコードと最近確認された kakaoTest.exe ファイルのコードは以下のように類似した形式で製作されている。
また、二つのファイルはどちらも以下のコードが含まれており、メール送信機能だけでなく、Daum メールの様々な URL に接続してログインしたアカウントのアドレス帳などの追加情報を確認する。
kakaoTest.exe ファイルの場合、ファイル名と参照するファイルの名前からして、テスト用に製作されたものと推定される。しかし、ファイルの機能は従来の APT 攻撃に使用された不正なファイルで使用されており、攻撃者がこのような振る舞いを実行するファイルを製作し続けていることが分かる。
このように、Daum メールのログインを利用したマルウェアを製作および配布する攻撃グループは、依然として様々な方式でマルウェアを生成していることが確認されたため、ユーザーは特に注意が必要である。
現在 V3 では、このマルウェアを次のような検知名で検知している。
[ファイル検知]
- Trojan/Win.Kimsuky
[IOC 情報]
- b162316082b1bd74a250c70b206ff015
- 47ce2cf998e4af580b9d0acccf7d2207
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報