ASEC 分析チームは、最近になって発注書、承認書に偽装して AppleSeed マルウェアが配布されている状況を捕捉した。AppleSeed は Kimsuky が主に使用しているバックドア型のマルウェアであり、システムに常駐して攻撃者の命令を受け取り、不正な振る舞いを行う。
最近では以下のようなファイル名でマルウェアが配布されている。
- 発注書-**-2022****-001-国税庁5地方税務署遮断センサー追加導入_***.jse
- 承認書(***課長).jse
JSE(JScript Encoded File)ファイルは Java Script になっており、実行すると以下のような AppleSeed バックドアの本体(DLL ファイル)と、おとりのドキュメントファイルである発注書の PDF ファイルが %ProgramData% パスにドロップされ、[図2]でわかるように、発注書の PDF ファイルが自動で実行される。


その後、regsvr32.exeを利用して AppleSeed バックドア本体ファイルをデコードして実行(紫のハイライト部分)し、mshta.exe を利用して追加のスクリプトをダウンロード後に実行(赤のハイライト部分)する。

追加スクリプトが実行されると、以下のような情報を窃取して C2 に送信する。
- コンピューター関連の基本情報(コンピューター名、OS バージョン、プロセッサー、メモリ)
- ユーザーアカウント情報
- ネットワーク情報(IP アドレス、ルーティングテーブル、ポート使用情報、ARP リスト)
- 現在実行中のプロセスおよびサービス
- ProgramFiles 内のフォルダーおよびファイル / スタートアップメニュー内のプログラム / 最近使用したファイルのリスト

AppleSeed バックドアの本体は、継続的に C2 サーバーからのコマンドを受け取って追加モジュールをダウンロードし、それを実行、または攻撃者の意図した振る舞いを実行する。AppleSeed バックドア本体についての詳しい解析情報はこちら(韓国語で提供)を参照してほしい。
スクリプト実行後の全体的なプロセスツリーは以下の通りである。

このように、おとりドキュメントファイルと共に実行されるため、一般のユーザーはシステムがマルウェアに感染したことを認知できていないケースが多い。通常であれば、このようなファイルは特定の会社を狙って攻撃するため、出どころの分からないメールの添付ファイルを実行しないように注意する必要がある。
現在 AhnLab V3 製品は、当該ファイルに対して以下の通り検知している。
[ファイル検知]
Dropper/JS.Generic
Backdoor/Win.AppleSeed.R499775
[IOC 情報]
7d445b39a090b486aaa002b282b4d8cb
67e7e8600a57e9430a43bf8c5f98c6bd
ec9dcef04c5c89d6107d23b0668cc1c1
1ae2e46aac55e7f92c72b56b387bc945
hxxp://dirwear.000webhostapp[.]com (情報窃取 C2)
hxxp://gerter.getenjoyment[.]net (AppleSeed バックドア本体 C2)
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] https://asec.ahnlab.com/jp/36228/ […]
[…] https://asec.ahnlab.com/jp/36228/ […]