特定航空会社の自己紹介書に偽装した RTF マルウェア

ASEC 分析チームは、今月(10月)初めに特定の航空会社の自己紹介書に偽装した RTF ドキュメント型のマルウェアを確認した。他のドキュメント型マルウェア(Word、Excel 等)に比べて頻繁に登場する類のドキュメント形式ではないもので、特定のドキュメントに偽装した RTF マルウェアは久しぶりに発見されたケースである。

  • ファイル名:****航空会社自己紹介書_.rtf

この RTF ドキュメントは MS Office に含まれている数式エディタのプログラムである EQNEDT32.EXE 関連の脆弱性(CVE-2017-11882)が使用されており、本文には自己紹介書の内容が記載されているが、最後の文章が途中で終わっている。

[図1] – 本文内容の冒頭部分
[図2] – 本文内容の末尾部分

このドキュメントは10月1日に最初に作成され、10月4日に最終変更されたものと確認され、以下のように脆弱性が発生した場合、特定のネットワークに接続して追加のファイルをダウンロードするものと思われる。

  • hxxps://gozdeelektronik[.]net/wp-content/themes/0111/movie.png
  • hxxps://gozdeelektronik[.]net/wp-content/themes/0111/movie.jpg
[図3] – ドキュメントの作成日時
[図4] – 接続するネットワークのアドレス

現在ではこのアドレスが無効となっており、追加でダウンロードするデータを確認することは困難である。有効になると、このアドレスから追加のデータ(マルウェア)をダウンロードし、動作するものと見られる。

この時、使用された不正なネットワークアドレスは、過去の2019年に不正な EPS を含むアレアハングル(HWP)のマルウェアが使用していた C2 アドレスと同じものと思われ、同じグループが製作したと見られる。外部 Twitter では今回の RTF を製作したグループとして Lazarus を言及している。

ユーザーは、出どころが不明なドキュメントの閲覧を避けなければならず、使用しているアプリケーションおよび V3 を最新バージョンにアップデートして使用しなければならない。このマルウェアは V3 において以下のように検知している。

[ファイル検知]
Exploit/MSOffice.Agent

[IOC]
dd8bb1686f16924ac797620092776022
hxxps://gozdeelektronik[.]net/wp-content/themes/0111/movie.png
hxxps://gozdeelektronik[.]net/wp-content/themes/0111/movie.jpg

[参考サイト]
https://twitter.com/souiten/status/1446725907637358597

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments