ASEC 分析チームでは最近 Microsoft から9月に発表された新しい脆弱性である CVE-2021-40444を含んだドキュメントファイルが拡散している状況を確認した。注目すべき点は、確認されたドキュメントが対北朝鮮関連のものであるということである。対北朝鮮に関連した不正なドキュメントは、以前から新しい方式へと発展し続けているが、最新の脆弱性を使用していることが確認されたことから、攻撃者が素早く新しい技法を適用し、配布を試みていることがわかる。
脆弱性の CVE-2021-40444は MSHTML 関連のコードを遠隔で実行できる脆弱性であり、MSHTML は Internet Explorer および Office プログラム内のブラウザレンダリングエンジンである。当該脆弱性は Internet Explorer および Office プログラムで作動する。ランサムウェアであるマグニバー(Magniber)も9月から当該脆弱性を悪用し、Internet Explorer によって今日まで配布されている。
この脆弱性を含む Office ドキュメントは以下のような対北朝鮮に関連したファイル名で配布されている。
●(2021-1118)統一**院-**大統一****院共同セミナープログラム(final).docx
● +北.中.露 超国境協力促進のための手引き.docx)
脆弱性の作動方式は以下の図のように、External リンクを利用しており、以下のような順序で攻撃が行われる。
- MHTML(MIME HTML) プロトコルを通して不正な URL にアクセス
- Office プログラム内のブラウザレンダリングエンジンを利用して、不正な構文の Java Script を実行
- CAB ファイルをダウンロードし、CAB ファイル内の INF 拡張子を持つ不正な DLL ファイルをロードし、不正な振る舞いを行う
不正な振る舞いが実行されると、以下のようにドキュメント本文を確認できる。ドキュメント本文の内容は、11/18に予定されてる南北統一関連機関のセミナーの日程に関連したものになっている。
対北朝鮮関連の2つのドキュメントは、どちらも同じ URL に接続するものと見られ、同じグループによる攻撃であると考えられる。しかし、現在はサーバーは開いているものの接続できないようにしてある状態である。
このように対北朝鮮関連の不正なドキュメントは様々な脆弱性を利用して拡散し続けているが、ドキュメントの内容自体が実際に関連する内容を含んでおり、ユーザーがドキュメントファイルを実行しても不正なファイルであることを認識しにくいため、特に注意が必要である。
現在 V3では、以下のような検知名で検知している。
[ファイル検知]
Downloader/XML.Generic
Exploit/XML.Cve-2021-40444.S1697
[IOC 情報]
1132d2a12b6fd6cbbc8046df3612d725
2edbab4834a1315b476278fb6ed2592f
809c4c40537c60e224363b94296fbbf2
hxxp://officeversion[.]mywebcommunity[.]org/ole/
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。