PDF ドキュメントに偽装して拡散する VBS スクリプト (Kimsuky)

ASEC 分析チームは本日(03/23)、Kimsuky と推定される攻撃グループが韓国国内の特定企業をターゲットに APT 攻撃を実行していることを確認した。VBS 形式のスクリプトファイルを実行すると、内部に存在する PDF ファイルを開いて、まるで正常なドキュメントを閲覧しているように見せかけ、不正な DLL ファイルを通じて情報流出機能を実行する。攻撃のターゲットは PDF ドキュメントの内容からして精密加工専門企業と推定でき、PDF ドキュメントの内容は以下の通りである。

  • ファイル名:受付証-中小企業技術革新開発事業_市場拡大型_グリーン転換_S???????.pdf.vbs
[図1] おとりファイルの正常な PDF ドキュメント

今回の攻撃を Kimsuky によるものと判断した根拠は以下の通りである。

  • 過去の AppleSeed マルウェア (韓国語のみ提供)と同じく regsvr32.exe を通じての実行
  • Kimsuky が使用するものと知られている kro.kr ドメインの C&C における活用
  • 攻撃者のコマンドの受信時、tasklist、net user、systeminfo 等のコマンドの実行

特に、攻撃者はユーザーの目を欺くために拡張子の前に「.pdf」を追加している。一般的なユーザーは[図2]のように「登録されている拡張子は表示しない」の項目がデフォルトでチェックされているため、この場合は VBS ファイルであるのに、PDF ファイルと勘違いする可能性がある。結果、ユーザーが VBS を実行すると正常な PDF ドキュメントの実行とは別に不正な振る舞いが実行される。

[図2] ファイル拡張子の非表示機能

不正な VBS は、VBS が実行されたパスに正常な PDF ファイルと「C:\ProgramData」パスに BASE64 でエンコードされた DLL をそれぞれ生成、実行する。内部コードによって生成する DLL ファイル名は以下のようにランダムである。

  • %ALLUSERSPROFILE%\tewl8.aqdzkz
  • %ALLUSERSPROFILE%\ltbpq.brv5la
  • %ALLUSERSPROFILE%\ihjq6.xvcdkk

最終的に実行された不正な DLL は cmd.exe プロセスを生成して C&C サーバーとプロセス間通信を待機する。待機中に確認された攻撃者のコマンドは以下の通りである。

  • systeminfo コマンド
  • tasklist コマンド
  • whoami コマンド
  • net user コマンド

AhnLab では、このような APT 攻撃に対して持続的にモニタリングおよび対応を行っており、ユーザーは[図2]のようにデフォルトでチェックされている「登録されている拡張子は表示しない」機能を無効化し、このような偽装の手法に騙されないよう注意しなければならない。

現在 AhnLab V3 製品は、当該ファイルに対して以下の通り検知している。

[IOC]

[MD5]
– 正常な PDF ドキュメント : b3c7df17420d48f61bbfcf2bac3ae4a3
– VBS ファイル : 64cbd6f435538175dc06ea4b84cba46d
– 最終実行 DLL(バックドア) : 856072827cec7b74ead3ce40e55bd8d1
– VBS により生成された DLL : 3ea9b50289aecccc7ffd04fa814c1a5c

[検知名(エンジンバージョン)]
– VBS ファイル : Dropper/VBS.Akdoor (2022.03.24.00)
– 最終実行 DLL(バックドア) : Trojan/Win.Kimsuky.C5025515 (2022.03.24.00)
– VBS により生成された DLL : Trojan/Win.Kimsuky.C5025516 (2022.03.24.00)

[C&C]
– hxxps://regular.winupdate.kro.kr/index.php

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:,

5 1 vote
評価する
guest