ASEC 分析チームは3月18日、炭素排出専門企業をターゲットにドキュメント型 APT 攻撃が実行されている状況を捕捉した。当社 ASD(AhnLab Smart Defense)に収集されたログによると、被害を受けた PC は「ㅇㅇ ㅇㅇ 탄소 배출권 전문 연구소.doc」(翻訳:ㅇㅇ ㅇㅇ炭素排出権専門研究所.doc)という不正な Word ドキュメントを、Web ブラウザを通じてダウンロードしたものと推定される。
不正なドキュメントは確保できなかったが、内部マクロコードにより wscript.exe が実行される構造であると推定される。確認された wscript.exe の実行引数は以下の通りである。
- wscript.exe %AppData%\Microsoft\Templates\version.ini
このような形式の実行引数作動方式は、過去に当該攻撃グループが使用した方式と一致する。過去の事例では VBS コードで構成された version.ini が実行されると、感染 PC にタスクスケジューラを生成して追加のペイロードを攻撃者の C&C サーバーから受け取り、その後不正な振る舞いを実行していた。今回の攻撃でも同様に、類似の方式で追加の攻撃が行われたものと見られる。
今回の事例の追加攻撃では、感染 PC で Gold Dragon マルウェアが実行された。攻撃者は %HomePath% に「wieb.dat」というファイル名で Gold Dragon をインストールする DLL を生成および実行したものと推定される。
実行された Gold Dragon は、以下の ASEC ブログを通じて取り上げたものと機能が類似している。
https://asec.ahnlab.com/jp/31095/
上記の事例においては情報流出モジュールが Gold Dragon に存在していなかったが、今回確認された Gold Dragon では情報流出モジュールが内部に存在した。
情報流出モジュールはシステム情報流出のため、以下のコマンドを実行する機能と、キーロガー、クリップボード流出機能を含んでいる。
- cmd.exe /c ipconfig/all >>”%s” & arp -a >>”%s”
- cmd.exe /c systeminfo >>”%s”
- cmd.exe /c tasklist >>”%s”
流出した情報は[図2]のように「%localappdata%\Microsoft\common\pre」パスに保存される。
- FreedsStore.feedsdb-ms : キーロガーデータの保存
- PI_000.dat : C:\Program Files、C:\users フォルダー内のファイルリスト保存
- PI_001.dat : システム情報、プロセスリスト、IP 情報の保存 (ipconfig、systeminfo、tasklist 実行結果の保存)
この攻撃グループは様々な産業分野に対して攻撃を実行している。従って、ユーザーは出どころが不明なスレッドおよび電子メールの添付ファイルを開かないように、特に注意が必要である。
現在 AhnLab 製品では、このような APT 攻撃に対するモニタリングの継続、および対応中であり、Gold Dragon については以下の検知名で対応している。
[IOC]
[MD5、検知名、エンジンバージョン]
wieb.dat : c096ceaaecd4c8fccfe765280a6dac1e Trojan/Win.Kimsuky.C5016729 (2022.03.19.00)
Gold Dragon : dd468bb6daff412f0205b21d50ddd641 Trojan/Win.Kimsuky.C5016818 (2022.03.19.00)
[C&C]
Gold Dragon ダウンロードアドレス(wieb.dat) : hxxps://osp06397.net/view.php?id=21504
Gold Dragon C&C : hxxps://us43784.org/report.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報