ASEC 分析チームは、昨年12月に掲載した<デザイン修正リクエストのドキュメントに偽装した情報窃取目的の不正な Word>と同じタイプの Word ドキュメントを確認した。今回確認された Word ドキュメントのタイトルは「製品紹介書.doc」であり、内部に特定の製品に関する説明を含んでいることからして、物流、ショッピング関連企業をターゲットにした攻撃と推定される。
確認された Word ドキュメントの内部には以前と同じ画像が含まれており、マクロの有効化を誘導する。
この Word ドキュメントは「디자인수정 요청.doc」(翻訳:デザイン修正リクエスト.doc)ファイルと作成日時、作成者、前回保存者の情報がすべて一致している。これによって、攻撃者が同じファイルを編集して使用しているものと推定される。
ドキュメント内部には不正な VBA マクロが含まれている。マクロを実行すると、Document_Open() 関数によって不正なマクロが自動で実行される。マクロコードについては前回に比べて多少難読化された形で存在しており、hxxp://manage-box.com/ord03 または /doc03 から、さらなるファイルをダウンロードする。
VBA マクロによってダウンロードされるファイルは、以下の通りである。ダウンロードされた setup.cab ファイルの内部には download.vbs、error.bat、no4.bat、start.vbs、upload.vbs の計5種類のスクリプトが存在する。
| ダウンロード URL | 保存先およびファイル名 |
| hxxp://manage-box[.]com/ord03/no03.txt | C:\Users\Public\Documents\no1.bat |
| hxxp://manage-box[.]com/ord03/vbs03.txt | C:\Users\Public\Documents\setup.cab |
| hxxp://manage-box[.]com/doc03/temp1403.doc | C:\Users\Public\Documents\temp.doc |
その後、ダウンロードした temp.doc ファイルを実行する。この Word ドキュメントは特定の企業を詐称して特定製品に関する内容を含んでいる。
この temp.doc ドキュメントも前回の「デザイン修正要請.doc」ファイルと作成日時、作成者、前回保存者の情報がすべて一致している。
(左:デザイン修正要請.doc においてダウンロードした temp.doc
右:製品紹介書.doc においてダウンロードした temp.doc)
temp.doc ドキュメントにも VBA マクロが含まれており、先にダウンロードした no1.bat を実行する。
Private Declare PtrSafe Function WinExec Lib "kernel32" ( _
ByVal lpCmdLine As String, _
ByVal nCmdShow As Long _
) As Long
Sub Document_Open()
WinExec "C:\Users\Public\Documents\no1.bat", 0
End Sub現在 no1.bat ファイルは確認されていないが、各スクリプトの機能がすべて過去に紹介した内容と同じことからして、従来と同様に error.bat ファイルを実行させるものと推定される。各スクリプトファイルの主な振る舞いは以下の通りである。
| ファイル名 | 主な振る舞い |
| error.bat | start.vbs ファイルのレジストリ登録 no4.bat ファイルの実行 追加ファイルのダウンロード |
| start.vbs | Error.bat の実行 |
| no4.bat | 情報収集および転送 |
| download.vbs | ダウンロード機能の実行 |
| upload.vbs | アップロード機能の実行 |
error.bat ファイルが実行されると以下のコマンドが実行され、start.vbs ファイルが持続的に実行されるようにする。
- “HKCU\Software\Microsoft\Windows\CurrentVersion\Run” /v svchostno2 /t REG_SZ /d “C:\Users\Public\Documents\start.vbs”
その後 no4.bat ファイルを実行して特定ファイルの有無を確認したあと、hxxp://safemaners.com/dow11/%COMPUTERNAME%.txt からさらなるファイルをダウンロードする。no4.bat ファイルは以下のユーザー PC の情報を収集し、hxxp://safemaners[.]com/upl11/upload.php へ転送する機能を実行する。
| 収集項目 | 保存ファイル名 |
| C:\Users\%username%\downloads\ リスト | %~dp0\cuserdown.txt |
| C:\Users\%username%\documents\ リスト | %~dp0\cuserdocu.txt |
| C:\Users\%username%\desktop\ リスト | %~dp0\cuserdesk.txt |
| C:\Program Files\ リスト | %~dp0\cprog.txt |
| IP 情報 | %~dp0\ipinfo.txt |
| tasklist | %~dp0\tsklt.txt |
| systeminfo | %~dp0\systeminfo.txt |
現在は、Word ドキュメントとスクリプトファイルにおいて確認された不正な URL である manage-box[.]com と safemaners[.]com に接続すると mail.naver.com へリダイレクトする。これは、攻撃者がユーザーに正常なサイトであるかのように見せるためのものと推定される。
このように、韓国国内のユーザーをターゲットとした Word ドキュメントのうち、対北朝鮮の内容ではなく物流、ショッピング関連の内容を含んでいる不正な Word ドキュメントが確認されているため、ユーザーの注意が要求される。不明なユーザーから受信したメールの添付ファイルは開かないようにし、自身に関連のある内容が含まれていても、送信者を必ず確認しなければならない。
[V3 検知]
- Downloader/DOC.Generic
- Trojan/DOC.Agent
- Trojan/VBS.Runner
- Trojan/BAT.Agent
- Downloader/BAT.Generic
[関連 IOC 情報]
- 10610cfe6cbf5a7dd5198a87e3186294
- 7bc342318717ac411898324baf549b76
- dc5ecb12dae64202922437edbe5a4842
- hxxp://manage-box.com/ord03/no03.txt
- hxxp://manage-box.com/ord03/vbs03.txt
- hxxp://manage-box.com/doc03/temp1403.doc
- hxxp://safemaners[.]com/upl11/upload.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報