3月初旬に蔚珍、三陟一帯で大規模な山火事が発生し、被害復旧および被災者を支援するために全国各地で寄付の行列が続いた。このような状況下で ASEC 分析チームは、攻撃者が蔚珍山火事被害の寄付領収証の Word ドキュメントを装って APT 攻撃を試みていることを捕捉した。
このドキュメントの作成日時は3月28日であり、製作者は過去の ASEC ブログを通じて公開した製作者名(Acer)と一致している。
攻撃手法と生成されるファイルの機能は過去のブログで取り上げた内容と同じだが、今回の攻撃における違いは、マクロを実行すると生成されるバッチファイル名が異なる点である。このバッチファイルは moster.bat という名前で拡散しており、機能は過去ブログの「error.bat」と一致している。
- C:\Users\Public\Documents\moster.bat -> start.vbs ファイルをレジストリ RUN キーに登録、no4.bat ファイルの実行、追加ファイルのダウンロード
- hxxp://nomonth-man.com/dfg04/%COMPUTERNAME%.txt (追加ファイルのダウンロードアドレス)
攻撃者は現在、対北朝鮮関係者および仮想通貨関係者だけではなく、攻撃対象を幅広く拡大しているものと見られる。ユーザーは出どころが不明なサイトや電子メールからの添付ファイルのダウンロードに注意しなければならず、特に Word ドキュメントを開く時にマクロの有効化ボタンのクリックを誘導するメッセージや図がある場合、不正なマクロが実行されるおそれがあるため、特に注意しなければならない。
現在 AhnLab V3 製品では、攻撃に関連するファイルに対して以下のような検知名で検知している。
[IOC]
[MD5]
– no1.bat : a0fddb12d7b3c445fdb7ab602a5bf5fb
– download.vbs : 85165e07b9f198a5e4047756eb779b46
– temp.doc : f248401769bbcd0ebeff992ef3cfe678
– moster.bat : 07232fe7144b0286eb5c9882834eea96
– no4.bat : 0b41f93365ec443406df942914317ec7
– start.vbs : 050e663bf6c97a953e25eb7e9754d656
– upload.vbs : a40eaa73ccffe4bc2233bdfd84fe2d62
[検知名(エンジンバージョン)]
– no1.bat : Trojan/BAT.Runner (2022.03.30.00)
– download.vbs : Downloader/VBS.Generic (2022.03.30.00)
– temp.doc : Trojan/DOC.Agent (2022.03.30.01)
– moster.bat : Trojan/VBS.Akdoor (2022.03.30.00)
– no4.bat : Trojan/VBS.Akdoor (2022.03.30.00)
– start.vbs : Trojan/VBS.Runner (2022.03.30.00)
– upload.vbs : Trojan/VBS.Akdoor (2022.03.30.00)
[C&C]
– hxxp://nomonth-man.com/uio04/upload.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報