ASEC 分析チームは、今月(10月)初めに特定の航空会社の自己紹介書に偽装した RTF ドキュメント型のマルウェアを確認した。他のドキュメント型マルウェア(Word、Excel 等)に比べて頻繁に登場する類のドキュメント形式ではないもので、特定のドキュメントに偽装した RTF マルウェアは久しぶりに発見されたケースである。
- ファイル名:****航空会社自己紹介書_.rtf
この RTF ドキュメントは MS Office に含まれている数式エディタのプログラムである EQNEDT32.EXE 関連の脆弱性(CVE-2017-11882)が使用されており、本文には自己紹介書の内容が記載されているが、最後の文章が途中で終わっている。
このドキュメントは10月1日に最初に作成され、10月4日に最終変更されたものと確認され、以下のように脆弱性が発生した場合、特定のネットワークに接続して追加のファイルをダウンロードするものと思われる。
- hxxps://gozdeelektronik[.]net/wp-content/themes/0111/movie.png
- hxxps://gozdeelektronik[.]net/wp-content/themes/0111/movie.jpg
現在ではこのアドレスが無効となっており、追加でダウンロードするデータを確認することは困難である。有効になると、このアドレスから追加のデータ(マルウェア)をダウンロードし、動作するものと見られる。
この時、使用された不正なネットワークアドレスは、過去の2019年に不正な EPS を含むアレアハングル(HWP)のマルウェアが使用していた C2 アドレスと同じものと思われ、同じグループが製作したと見られる。外部 Twitter では今回の RTF を製作したグループとして Lazarus を言及している。
ユーザーは、出どころが不明なドキュメントの閲覧を避けなければならず、使用しているアプリケーションおよび V3 を最新バージョンにアップデートして使用しなければならない。このマルウェアは V3 において以下のように検知している。
[ファイル検知]
Exploit/MSOffice.Agent
[IOC]
dd8bb1686f16924ac797620092776022
hxxps://gozdeelektronik[.]net/wp-content/themes/0111/movie.png
hxxps://gozdeelektronik[.]net/wp-content/themes/0111/movie.jpg
[参考サイト]
https://twitter.com/souiten/status/1446725907637358597
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報