企業ユーザーをターゲットにした不正な Word ドキュメントが拡散中

ASEC 分析チームは、企業ユーザーをターゲットにしたものと推定される Word ドキュメントを確認した。確認された Word ドキュメントには、他の不正なドキュメントと同じくマクロの有効化を誘導する画像が存在する。また、正常なドキュメントに見えるようにするため、マクロを有効化すると Google アカウントのセキュリティ強化に関連する内容が表示され、最終的にさらなるマルウェアのダウンロードおよびユーザー情報を流出させる振る舞いを実行する。

確認された不正な Word ドキュメントを開くと、警告ウィンドウの画像が表示され、「公共書式のアレアハングルで作成されたテンプレートファイル」と言及されており、ドキュメント内部の VBA マクロ実行を誘導する。また、右側に表示されたメモによって Microsoft が作成したものに見えるようにしており、ドキュメントのプロパティに表示される作成者名も Microsoft であることがわかる。

コンテンツの有効化ボタンをクリックすると、以下のように Google アカウントのセキュリティ強化に関する内容が表示される。

ドキュメントに含まれているマクロコードの確認を困難にするため、VBA Project には以下のようにパスワードが設定されている。

確認されたマクロコードは AutoOpen 関数によって自動で実行され、RunFE() 関数によって不正な振る舞いを実行する。

Sub AutoOpen()
    Call CTD
    Dim rfRes As Long
    rfRes = RunFE()
    
    If rfRes = 1 Then
        Call HideInlineShapes
        Call ShowShapes
        Call CommnetDelete
    End If
    
'       Call ShowInlineShapes
'       Call HideShapes
End Sub

RunFE() 関数は以下のようにダウンロードアドレスが Base64 および特定の Hex 値でエンコードされた形式で存在する。

マクロコードには2つのダウンロード URL が存在する。これは、ユーザー PC の環境に適したマルウェアをダウンロードするためのものと見られる。エンコードされた URL をデコードした結果は以下の通りである。

• x86 環境 – hxxp://4w9H8PS9.naveicoipc[.]tech/ACMS/7qsRn3sZ/7qsRn3sZ32.acm
• x64 環境 – hxxp://4w9H8PS9.naveicoipc[.]tech/ACMS/7qsRn3sZ/7qsRn3sZ64.acm

接続に失敗すると、インターネットに接続してからドキュメントをオープンするようにとのメッセージボックスが生成される。

ダウンロード URL に接続が可能な場合、当該アドレスに存在するエンコードされた PE データを受け取る。ダウンロードされた PE データはデコード後に Word プロセスにインジェクションして実行される。

インジェクションされたコードの内部には、以下のように実行中のプロセスのうち、当社製品のプロセスが存在するかどうかを確認するコードが存在する。

プロセス名が v3l4sp.exe (V3Lite)というものが存在する場合、さらなる不正な振る舞いを行わずに終了する。これにより、V3Lite を使用している個人顧客の場合はさらなる不正な振る舞いを行わずに終了し、企業ユーザーの場合は不正な振る舞いが発現する。

プロセスを確認後、%ProgramData%\Intel フォルダーに IntelRST.exe をドロップして以下のレジストリを通じて IntelRST.exe が持続的に実行されるようにする。

• HKCU\Software\Microsoft\Windows\CurrentVersion\Run\IntelCUI
  Data: “C:\ProgramData\Intel\IntelRST.exe”

また、winver.exe および ComputerDefaults.exe を利用した UAC Bypass によって昇格した権限で IntelRST.exe を実行する。実行された IntelRST.exe は以下のコマンドによって Windows Defender で除外ファイルとして登録する。

• cmd.exe /c powershell -Command Add-MpPreference -ExclusionPath “C:\ProgramData\Intel\IntelRST.exe”

実行されるプロセスのツリーは以下の通りである。

その後 hxxp://naveicoipc[.]tech/post.php にユーザー PC 情報を転送し hxxp://naveicoipc[.]tech/7qsRn3sZ/7qsRn3sZ_[ユーザー名]_/fecommand.acm に接続を試みる。現在、この URL には接続が不可能であり、以降の振る舞いは不明である。

さらに同じマクロのタイプを含む Word ドキュメント(ファイル名：사건조정의견서_BA6Q318N.doc)(翻訳：事件調停意見書_BA6Q318N.doc)が確認されたが、このファイルの場合はパスワードが設定されており、内容の確認ができない。Word ドキュメントに含まれた VBA マクロによって確認できるダウンロード URL は以下の通りである。

• x86 – hxxp://MOmls4ii.naveicoipa[.]tech/ACMS/BA6Q318N/BA6Q318N32.acm
• x64 – hxxp://MOmls4ii.naveicoipa[.]tech/ACMS/BA6Q318N/BA6Q318N64.acm

このように、紹介したタイプの不正なマクロを拡散させるドキュメントのうち、パスワードが設定されているケースも存在する。以下は、追加で確認された異なる内容の Word ドキュメント(ファイル名：Binance_Guide (1).doc)である。

• x86 環境 – hxxp://uzzmuqwv.naveicoipc[.]tech/ACMS/1uFnvppj/1uFnvppj32.acm
• x64 環境 – hxxp://uzzmuqwv.naveicoipc[.]tech/ACMS/1uFnvppj/1uFnvppj64.acm

最近、韓国国内ユーザーをターゲットにした不正な Word ドキュメントが相次いで確認されているため、ユーザーは特に注意が必要である。適切なセキュリティ設定によって不正なマクロが自動で実行されないように設定しておき、出どころが不明なファイルを実行しないようにしなければならない。

[ファイル検知]
Downloader/DOC.Generic
Trojan/Win.Generic.C5025270

[IOC]
c156572dd81c3b0072f62484e90e47a0
c9e8b9540671052cb4c8f7154f04855f
809fff6e5b2aa66aa84582dfc55e7420
37505b6ff02a679e70885ccd60c13f3b
hxxp://4w9H8PS9.naveicoipc[.]tech/ACMS/7qsRn3sZ/7qsRn3sZ64.acm
hxxp://4w9H8PS9.naveicoipc[.]tech/ACMS/7qsRn3sZ/7qsRn3sZ32.acm
hxxp://naveicoipc[.]tech/post.php
hxxp://MOmls4ii.naveicoipa[.]tech/ACMS/BA6Q318N/BA6Q318N32.acm
hxxp://MOmls4ii.naveicoipa[.]tech/ACMS/BA6Q318N/BA6Q318N64.acm
hxxp://uzzmuqwv.naveicoipc[.]tech/ACMS/1uFnvppj/1uFnvppj32.acm
hxxp://uzzmuqwv.naveicoipc[.]tech/ACMS/1uFnvppj/1uFnvppj64.acm

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。