大統領選挙を前にして、ASEC 分析チームは「第20代大統領選挙洋上投票報道資料」を装った不正なアレアハングルドキュメントが拡散していることを確認した。攻撃者は2/28に不正なアレアハングルドキュメントを配布しており、この不正なドキュメントは確保できなかったが、当社 ASD(AhnLab Smart Defense)インフラのログによれば内部 OLE オブジェクトを通じてバッチファイルを動かすことで、PowerShell を実行する形式と推定されている。
- 拡散ファイル名 : 보도자료(220228)_3월_1일___3월_4일_제20대_대통령선거_선상투표_실시(최종).hwp
(翻訳:報道資料(220228)_3月_1日___3月_4日_第20代_大統領選挙_洋上投票_実施(最終).hwp)
[図1]はインフラにより確認されたバッチファイルのパスと、アレアハングルのファイル名である。同じ正常なアレアハングルドキュメントのサイズが 2.06MB である一方、不正なアレアハングルドキュメントは 2.42MB であり、内部に別の BAT ファイルを挿入することでドキュメントが製作されたものと見られる。
- %TEMP%\mx6.bat (バッチファイル生成パス)
これに類似した形式の攻撃は、2月7日にも確認されている。記事によれば、攻撃者は中央選挙管理委員会(選管委)を詐称して「第20代大統領選挙選挙権者開票参観人公開募集」という正常なドキュメントを装って、不正なドキュメントを配布した。
https://www.dailynk.com/20220208-4/ (韓国語でのみ提供)
当時拡散した不正なアレアハングルドキュメントと、今回の攻撃に使用されたドキュメントの共通点は以下の通りである。
- 同じ機関(選管委)を装って不正なアレアハングルドキュメントを配布
- OLE オブジェクト方式によりバッチファイルの実行を誘導
- 2/7の選管委詐称攻撃に使用されたもの($kky4)と類似した変数名($kkx9)を含む PowerShell コマンド
- PowerShell コマンドの一部 : ($kkx9='[DllImport(“user32.dll”)] public static extern bool ShowWindow(int handle, int state);’)
以下の[図3]は、攻撃者が配布に使用したものと推定される正常なアレアハングルドキュメントである。
正常な公式のアレアハングルドキュメントは中央選挙管理委員会の公式ホームページ(https://www.nec.go.kr/)で確認でき、ユーザーは出どころが不明なサイトからこれに類似したドキュメントをダウンロードした場合、注意しなければならない。
- https://www.nec.go.kr/cmm/dozen/view.do?cbIdx=1090&bcIdx=164018&fileNo=1 (ドキュメントのダウンロード先アドレス)
攻撃者は、第20代大統領選挙が近づくにつれて選管委を詐称した様々な攻撃を実行しているものと見られる。AhnLab では類似した不正な振る舞いのモニタリングを続けており、新たな情報が出た場合は迅速に共有する予定である。
[AhnLab V3 製品の対応]
[ビヘイビア検知]
– Execution/MDP.Powershell.M4208
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] https://asec.ahnlab.com/jp/32440/ […]