北朝鮮の4.25観兵式に関する内容の不正な Word ドキュメントの拡散

ASEC 分析チームは本日(04/29)、北朝鮮の観兵式に関する内容の不正な Word ドキュメントが拡散している状況を確認した。配布者は、侵害したものと推定される韓国国内の Web サーバーに不正な Word ドキュメントをアップロードした。Web サーバーには不正な Word ドキュメントだけではなく、攻撃者が OLE オブジェクトを添付する形式や EPS の脆弱性を利用した方式の不正なアレアハングルドキュメントの配布に使用したものと推定される正常なアレアハングルドキュメント2件も同時にアップロードされていた。

– 分析資料] 4.25 観兵式から見る北朝鮮の核武力使用の立場と軍部エリート変動の含意.docm
– 「Channel A ニュースキャスターのハ・ジョンデ、尹錫悦(ユン・ソンヨルのキャンプに合流」.hwp)
– attach.hwp (正常)

[図1] 不正な Word ドキュメント(data.zip)がアップロードされたサーバーのページ
[図2] attach.hwp (作成日時:2022年3月2日水曜日午後3:36:27)
[図3] “Channel A ニュースキャスターのハ・ジョンデ、尹錫悦(ユン・ソンヨルのキャンプに合流“.hwp (作成日時:2022年2月25日金曜日午前12:38:15)

攻撃者サーバーにアップロードされた「data.zip」は暗号化されており、ドキュメントの確保には失敗したが、既存の攻撃形式のように wscript.exe を利用して PC 情報流出等の振る舞いを実行していたものと推定される。

攻撃者は継続的に安全保障/政治/外交関係者をターゲットに攻撃を遂行している。不正な Word ドキュメントの場合、主に電子メールの添付ファイル形式で配布されるため、出どころが不明な対象から受信した電子メールの添付ファイルの実行およびマクロの有効化をしないようにしなければならない。

現在 V3 では、このマルウェアを以下のように検知している。

[ファイル検知]
Trojan/HTML.Loader(2022.04.30.00)

[IOC]
6cc09bc6e605b59d7eb48eb266f798f8 (HTML)
hxxp://www.namastte[.]kr/sources/Util/AJAX.php?fpath=/home/namastte/html/sources/Util/temp/data&rename=[分析資料].zip

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

5 1 vote
評価する
guest
0 コメント
Inline Feedbacks
View all comments