ASEC 分析チームは最近、原子力発電所関連企業をターゲットに AppleSeed マルウェアを配布している状況を確認した。AppleSeed は北朝鮮関連組織の一つである Kimsuky が使用するバックドア型マルウェアであり、複数の企業をターゲットに活発に出回っている。
https://asec.ahnlab.com/jp/36228/
今回 ASEC 分析チームで確認された AppleSeed ドロッパーのファイル名は以下の通りであり、ユーザーを欺くために二重拡張子を使用している。
- ノ**.xls.vbs
- 配置図_古里2号機 ISI.pdf.vbs

ファイルを実行すると、内部にあるエンコードされたデータをデコードして以下のパスにファイルがそれぞれ生成される。
- [vbs ファイルと同一のパス]\ノ**.xls (正常な Excel おとりファイル)
- %ProgramData%\qijWq.rSCKPC.b64 (特定の形式にエンコードされた不正な PE ファイル)
- %ProgramData%\qijWq.rSCKPC.bat (qijWq.rSCKPC.b64 ファイルをデコードするバッチファイル)
ファイルとして出力された Excel ファイルを自動で実行させ、ユーザーが正常な Excel ドキュメントを閲覧しているように見せかけようとしている。おとりの Excel ファイルの本文は以下の通りであり、内容には原子力発電所関連の文章が記載されている。

バックグラウンドでは %ProgramData% パスにある qijWq.rSCKPC.bat ファイルを実行して qijWq.rSCKPC.b64 をデコードし、最終的に同じパスに qijWq.rSCKPC ファイル(DLL PE)を生成する。

その後、DLL ファイルを実行するプログラムである regsvr32 を利用してドロップされたマルウェアを実行させる。正確な実行引数は以下の通りである。
- regsvr32 /s /i:123579ASDFG C:\ProgramData\qijWq.rSCKPC
当該ファイルが実行されたあと、以下の C2 にアクセスして特定のコマンドを受け取り、コマンドを実行してその結果を特定の形式にエンコードして C2 に送信する。
- C2 : hxxp://ndt.info[.]gf/index.php
- コマンド
- die : 終了
- getinfo : コンピュータ情報
- where : 現在実行中のパス
- run : 特定ファイルまたはコマンドの実行

攻撃者は run コマンドを利用することで任意の振る舞いを起こさせることができ、AppleSeed のようなさらなるマルウェアファイルをダウンロードして実行することができる。
このように、おとりドキュメントファイルと共に実行されるため、一般のユーザーはシステムがマルウェアに感染したことを認知できていないケースが多い。通常であれば、このようなファイルは特定の会社を狙って攻撃するため、出どころの分からないメールの添付ファイルを実行しないように注意する必要がある。
現在 AhnLab V3 製品は、当該ファイルに対して以下の通り検知している。
[ファイル検知]
Dropper/VBS.Generic.SC183898 (2022.10.19.03)
Dropper/Win.AppleSeed.R531012 (2022.10.20.00)
Dropper/VBS.VBS (2022.10.19.03)
[IOC 情報]
55a9a935b36da90fb5a7ab814d567a40
ba83312ea92c284c710bcc0906a29fb1
hxxp://ndt.info[.]gf/index.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報