ASEC 分析チームは最近、特定の軍部隊のメンテナンス企業をターゲットに AppleSeed を配布している状況を捕捉した。AppleSeed マルウェアは Kimsuky グループが主に使用しているバックドア型マルウェアであり、最近は様々な対象をターゲットに活発に配布されている。
https://asec.ahnlab.com/jp/36228/
今回は、特定の軍部隊の名前が含まれた以下のようなファイル名で、マルウェアが配布されている。
- 20220713_****部隊_配置予定日程V004_***** 修正_6.xls

最初は Excel ドキュメント形態(XLS)で配布されていたが、アンチウイルスソフトを回避するためか、Excel ファイルは暗号化されて保護されている。
このドキュメントファイルを実行すると[図2]のように、コンテンツ使用許可ボタンをクリックするように誘導する内容があり、コンテンツ使用ボタンをクリックすると、マクロによって[図3]のように本文が変化する。


マクロの内容を確認すると、従来の本文が見えるようにマクロ使用誘導本文を隠してあることが分かる。また、mshta を利用して特定の C2 から追加のスクリプトをダウンロードして実行する。

追加スクリプトは AppleSeed をダウンロードして実行するルーティンが含まれており、以下のパスに保存されて実行される。
- パス : %ProgramData%\Software\ControlSet\Service\ServiceScheduler.dll
- 実行引数 : regsvr32.exe /s /n /i:12345QWERTY [AppleSeed パス]
AppleSeed が実行されると、継続的に C2 サーバーから命令を受け取り、追加モジュールをダウンロードして実行したり、攻撃者の意図する振る舞いを行ったりする。AppleSeed についての詳しい解析情報はこちら(韓国語のみ提供)を参照してほしい。
AppleSeed を主に使用している Kimsuky グループは、攻撃の成功確率が高めるために、様々な方法で攻撃を試みている。出どころが不明なメールの添付ファイルは実行しないように注意する必要があり、マクロファイルの場合は、確実に信頼できるファイル以外のマクロは実行してはならない。
現在 AhnLab V3 製品は、当該ファイルに対して以下の通り検知している。
[ファイル検知]
Downloader/XSL.Kimsuky
Backdoor/Win.AppleSeed.R504704
[IOC 情報]
1ac5b803205b1c3464941df2c21958e7
a3786f14c85842861aa3493ec30be949
hxxp://hime.dothome.co[.]kr/exchange/
hxxp://sign.dothome.co[.]kr/login/
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報