ASEC 分析チームでは、しばらく拡散が落ち着いていた不正なアレアハングル(HWP)ファイルを確認した。今年4月を最後に掲示された HWP ファイルの場合も、内部に不正なリンクオブジェクトを挿入したものであり、今回確認された不正な EPS が挿入されたケースは今年に入って初めて確認されたものである。VirusTotal にもアップロードされているファイルで、何者かがアップロード時に「test.hwp」、「123.hwp」という名前でアップロードしたものと見られ、テスト段階で製作した可能性も排除できない。
ただし、最近掲示された「特定航空会社の自己紹介書に偽装」の不正な RTF と内部シェルコードが同じであるという点は注目に値する。このシェルコードによって接続を試みた不正な URL は、以前のブログで取り上げたように、2019年に不正な HWP ファイルが使用していたものでもある。
このドキュメントの本文の内容は、COVID-19 緊急災害支援金申請のための個人情報取扱い同意書の形式になっており、前回保存日時が今月(10月)初めになっている。既存の正常なドキュメントを編集したものと推定される。
内部に挿入された不正な EPS の PS(Post Script)コードはエンコードされており、復号化することで内部の Shellcode を確認することができる。
最終的に以下の URL から追加のファイルをダウンロードして explorer.exe にインジェクションして動作するものと思われるが、現在では当該アドレスから追加のデータを受け取ることができず、それ以降の機能は確認が困難である。
- hxxps://gozdeelektronik[.]net/wp-content/themes/0111/movie.png
- hxxps://gozdeelektronik[.]net/wp-content/themes/0111/movie.jpg
この EPS の脆弱性については2017年に脆弱性修正パッチが適用され、最新のアレアハングルのバージョンでは不正な振る舞いの発現が不可能である。ユーザーは、出どころが不明なドキュメントは閲覧しないようにしなければならず、使用しているアプリケーションおよび V3 を最新バージョンにアップデートして使用しなければならない。このマルウェアは V3 において以下のように検知している。
[ファイル検知]
Exploit/HWP.Agent
Exploit/HWP.Generic
[ビヘイビア検知]
Malware/MDP.Behavior.M2411
[IOC]
e1f94437ea6cff17ea718bd152a9167f
9f03fd9d9703ce32fac2967f6bde1e08
hxxps://gozdeelektronik[.]net/wp-content/themes/0111/movie.png
hxxps://gozdeelektronik[.]net/wp-content/themes/0111/movie.jpg
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報