ASEC 分析チームは最近、対北朝鮮関連の不正なアレアハングルドキュメントファイルが拡散している状況を確認した。動作方式は脆弱性を利用したものではなく、ドキュメントを開いた際に表示される画面にユーザーのクリックを誘導するハイパーリンクを挿入し、これをクリックすることでドキュメント内部に含まれる実行ファイルが動作する方式である。このようにドキュメント内部に実行ファイルが存在しているものは正常なアレアハングルドキュメントでも確認されている特徴であり、これはオブジェクトの挿入によって可能な正常な機能であると言える。感染するとタスクスケジューラによって121分ごとに自動で実行されるように設定されており、追加で外部の不正なファイルを Google Drive (https://drive.google.com)を通じてダウンロードする構造である。また、動作プロセスにおいて V3 製品の検知画面を隠す特徴を持っている。実際に不正なファイルを検知し治療を行う過程には問題がないが、ユーザーが疑わしいファイルであることを認知できないようにしているため、格別な注意が要求される。このように、最近対北朝鮮関連のマルウェアが増加しており、検知を回避するための試みが確認されているため、注意が必要である。
- ファイル名 : ONN-Construction activities near Chamjin-ri and Kangson-Dec 2021.hwp
この HWP ファイルを開くと以下の図のように表示され、ファイルに含まれている以下の複数のファイルを %TEMP% パスに生成する。
- ~DF9B1C729B001D998E.tmp
- iphlpapi.dll
- OneDriveStandaloneUpdater.exe
- ONN-Construction activities near Chamjin-ri and Kangson-Dec 2021.tmp
ここで「여기를 클릭」(翻訳:ここをクリック)ボタンをクリックすると、ハイパーリンクを通じて %TEMP%\OneDriveStandaloneUpdater.exe ファイルが実行される。この OneDriveStandaloneUpdater.exe ファイルは単純な OneDrive アップデートプログラムであり正常なプログラムだが、このプログラムが実行された時にロードする DLL ファイルの iphlpapi.dll ファイルが不正な振る舞いを引き起こす。
OneDriveStandaloneUpdater.exe により iphlpapi.dll ファイルがロードされると、2つのスレッドが実行される。
一つ目のスレッドは同じパス上の ~DF9B1C729B001D998E.tmp ファイルを読み込み、特定の構文解析フレーズ(赤文字の部分)を利用して3つに分割したあと、それぞれ Base64 によってデコードして %appdata%\Microsoft パスに 1.bat、1.tmp、2.tmp というファイルとして保存する。
その後、1.bat ファイルを実行する。
二つ目のスレッドの場合、V3 Lite 製品の ClassName を利用して FindWindowA 関数によってウィンドウを探し、ShowWindow 関数を使用してウィンドウを隠してしまうプロセスを繰り返す。
このクラス名によって隠されるウィンドウは以下のような V3 マルウェア遮断ウィンドウであることが確認されたが、このウィンドウが隠されたとしてもマルウェアの治療は正常に実行される。
1.bat ファイルが実行されると OneDriverStandaloneUpdater.exe を強制的に終了させたあと以下のように生成したファイルを移動し、colegg.vbs ファイルに対してタスクスケジューラプログラムである schtasks を利用して121分ごとに実行されるよう指定する。
- %appdata%\Microsoft\1.tmp -> %appdata%\colegg.vbs
- %appdata%\Microsoft\2.tmp -> %appdata%\colegg.ps1
- %temp%\ONN-Co~2021.tmp -> %userprofile%\Downloads\ONN-Co~2021.hwp
その後、アレアハングルドキュメントのプログラムを強制終了して ONN-Co~2021.hwp ファイルを実行し、自身(1.bat)ファイルを削除する。
このときに実行される ONN-Co~2021.hwp ファイルは以下のような対北朝鮮関連の文書であることが確認された。これは、正常な HWP ファイルである。
タスクスケジューラに登録されて繰り返し実行され続ける colegg.vbs ファイルは Google Drive にアクセスして特定のファイル(追加の vbs ファイル)のダウンロードページのソースを読み込む。
実際にはここではファイルをダウンロードせず、ファイル名のみを読み込んで、ファイル名の「johnbegin–」と「–johnend」の間にある文字列を特定のデコードルーティンによってデコードする。
デコードが完了すると、以下のような VB Script が表示され、この構文を Execute 関数によって実行する。
この構文が実行されると、以下の図のように特定の Google Docs に「-[ホスト名]hwp[現在日付/時間]-」の形式で記入される。現在は、1つの PC のみが記録されている。
現在は Google Docs ドキュメントに感染した PC のホスト名を単純に記入するコードのみが含まれているが、今後攻撃者がファイル名を修正することにより、感染した PC に対して別のコマンドを実行する可能性がある。
このように不正なアレアハングルドキュメントのファイルを含んだ様々な手法を利用した対北朝鮮関連の不正なドキュメントは拡散が続いており、今回のファイルの場合は最終的に実行される HWP ファイルが正常なファイルであるため、ユーザーが不正なファイルであると気づきにくく、格別の注意が必要である。
現在 V3では、以下のような検知名で検知している。
[ファイル検知]
Dropper/HWP.HyperLink
Trojan/Win.Kimsuky.C4848645
Trojan/PowerShell.Generic
Trojan/BAT.Generic
Trojan/VBS.Generic
[IOC 情報]
3c45e0def2845cc130a9331c774d3935
a7077d9a2c98ec2d0b3b1c12f23b2a79
8ec6e4d3a6142b8bde35899e7fdae42e
41aca1d4282dfb41356ee95e933eedc1
a532a4fe38b76f53885158aa3b75e5dc
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報