対北朝鮮関連の原稿要求事項を装った APT 攻撃の試み (Kimsuky)

ASEC 分析チームは最近、大学院教授をターゲットに対北朝鮮関連の原稿要求事項を装った不正な Word(DOC)ドキュメントが配布された状況を確認した。この Word ドキュメントは以下の名前で配布されており、ドキュメント名に言及されている KIMA は韓国軍事問題研究院が発行する安保、国防、軍事分野の専門月刊誌の名称である。

  • 3月月刊 KIMA 原稿_要求事項.doc

攻撃者は特定の大学に所属する教授をターゲットに、スピアフィッシング攻撃を行った。不正な Word ドキュメントのマクロ機能および全体的な動作方式は[図1]の通りであり、攻撃者サーバーから追加のコマンド(VBS(Visual Basic Script)スクリプト)をダウンロードしてメモリ上でこれを実行する。

[図1] ドキュメントの攻撃フロー図

実行された VBS コードが攻撃者の C&C サーバーと通信する方式は、過去の ASEC ブログ(特定の論文の不正な Word ドキュメントを利用した APT 攻撃)を通じて紹介した内容と類似している。

https://asec.ahnlab.com/jp/27907/

[図2] 「3月月刊 KIMA 原稿_要求事項.doc」のマクロコードの一部

解析当時に確保した攻撃者サーバーからダウンロードされた VBS コードは、ユーザー PC で以下のような情報を収集および流出させている。

[図3] 攻撃者サーバーからダウンロードされた VBS コードの一部
  • 基本的なシステム情報の収集(コンピューター名、所有者情報、メーカー、コンピューターのモデル、システムの種類)
  • OS 情報(OS、OS バージョン情報、メモリ容量)
  • プロセッサ情報
  • アンチウイルス製品情報
  • 実行中のプロセス情報
  • 特定フォルダー内のファイルリスト情報(デスクトップ、マイドキュメント、お気に入りフォルダー、Recent フォルダー、ProgramFiles、ダウンロード)
  • 最近開いた Word ドキュメント名

これ以外にも、スクリプトはユーザー PC の「%AppData%\Microsoft\Templates」パスに「OfficeAppManifest_[分]_[時]_[日]_[月].ini」という名前で VBS ファイルを生成する。その後 Microsoft に偽装したサービスにより当該スクリプトを実行するサービスを登録する。これは、スクリプトを持続して実行させるためであると推定される。登録されたサービスは最初に実行された Word マクロ機能と類似した方式であり、攻撃者サーバーからのコマンドを待機する。

[図4] OfficeAppManifest_[分]_[時]_[日]_[月].ini
  • 「OfficeAppManifest_[分]_[時]_[日]_[月].ini」 // 分、時、日、月はダウンロードされたスクリプトが最初に実行された時間

このようなドキュメント型 APT 攻撃手法は、昨年の1年間で当社 ASD(AhnLab Smart Defense)インフラにおいて最も多く確認されたタイプである。

AhnLab 製品では、以下のようにこのマルウェアを検知している。

[IOC および検知名(エンジンバージョン)]
[MD5]
– 89ea8dff2ed6380b756640bc5ba7e7d0 (Downloader/DOC.Kimsuky (2022.02.10.03))
(3月月刊 KIMA 原稿_要求事項.doc)
– 4cb18d33a729eeea494238dcc1bdb278 (Downloader/VBS.Agent (2022.02.11.00))
(攻撃者サーバーからダウンロードされた VBS コード)
– 54a11842db77475f2aaab5b2dc8a9319
(OfficeAppManifest_[分]_[時]_[日]_[月].ini)

[攻撃者 C&C]
– http[:]//thdde.scienceontheweb[.]net/accout/list.php?query=1 (DOC マクロが接続する C&C サーバーのアドレス)
– http[:]//thdde.scienceontheweb[.]net/accout/list.php?query=6 (VBS コードが接続する C&C サーバーのアドレス)

Categories:マルウェアの情報

Tagged as:,

0 0 votes
評価する
guest
1 コメント
Inline Feedbacks
View all comments
trackback

[…] このような形式の実行引数作動方式は、過去に当該攻撃グループが使用した方式と一致する。過去の事例では VBS コードで構成された version.ini が実行されると、感染 PC にタスクスケジューラを生成して追加のペイロードを攻撃者の C&C サーバーから受け取り、その後不正な振る舞いを実行していた。今回の攻撃でも同様に、類似の方式で追加の攻撃が行われたものと見られる。 […]