ASEC 分析チームは「対北朝鮮関連の特定人物をターゲットにする不正な Word ドキュメント」で確認された Word ドキュメントが、最近 FTP を利用して、ユーザー情報を流出させていることを確認した。確認された Word ドキュメントのファイル名は「CNA[Q].doc」であり、CNA シンガポール放送のインタビューに偽装していた。ドキュメントにはパスワードが設定されており、パスワードもメールに添付されて配布されるものと推定される。
確認された Word ドキュメントは、以前と同様に対北朝鮮関連の内容を含んでおり、不正な VBA マクロが含まれている。
ドキュメント閲覧時には、マクロの実行を誘導する画像は確認されていないが、内部に含まれたマクロには以下のようなコードが存在する。これにより、ユーザーがタイピングする際にはマクロの実行を誘導するメッセージウィンドウが生成される。したがって、ユーザーはドキュメント編集のためにコンテンツ有効化をクリックすることになり、ドキュメントに含まれた VBA マクロが実行される。
VBA マクロには Document_Open() 関数が存在し、不正なマクロが自動で実行される。実行されるマクロコードは従来のものと類似した方法で難読化されており、最終的には %appdata% フォルダーに VBScript である tmp.pip ファイルを生成および実行する。
tmp.pip ファイルの実行時、Defender.log、DefenderUpdate.lba、Ahnlab.lnk を生成する。その後 DefenderUpdate.lba の拡張子を bat に変更してファイルを実行する。各ファイルの機能は以下の通りである。
| ファイル名 | 機能 |
|---|---|
| DefenderUpdate.lba (DefenderUpdate.bat) | Ahnlab.lnk ファイルの実行 (ファイル内部に Ahnlab.lnk パスが存在) |
| Ahnlab.lnk | PowerShell を通して Defender.log を実行 |
| Defender.log | 「hxxp://okihs.mypressonline[.]com/bb/bb.txt」に存在するスクリプトを実行 |
Defender.log 実行時に接続する hxxp://okihs.mypressonline[.]com/bb/bb.txt には、過去のブログで確認された ng.txt と類似したスクリプトが存在する。
このスクリプトの主な機能は以下の通りである。
- ユーザー PC 情報の収集および転送(収集情報は %APPDATA%Ahnlab.hwp に保存し、その後 hxxp://okihs.mypressonline[.]com/bb/post.php に転送)
- hxxp://okihs.mypressonline[.]com/bb/bb.down から追加ファイルのダウンロード
流出する情報も以前と同様である。
| 実行コマンド | 収集情報 |
|---|---|
| GetFolderPath(“Recent”) | 最近使ったフォルダーのパス |
| dir $env:ProgramFiles | ProgramFiles フォルダーの内容 |
| dir “C:\Program Files (x86) | C:\Program Files (x86) フォルダーの内容 |
| systeminfo | システム情報 |
bb.txt からダウンロードされる追加スクリプトの bb.down ファイルには、過去に説明した ng.down ファイルとは異なり、FTP を利用してユーザー情報を流出するコードが追加された。追加コードを除いた LNK ファイル(Ahnlab.lnk)の生成、Office セキュリティ設定の変更、キーロガー機能はすべて過去のものと同様に実行される。追加されたコードは以下の通りである。
bb.down スクリプトの実行時、上の main 関数を実行して「%LOCALAPPDATA%\Google\Chrome\User Data」と「%LOCALAPPDATA%\Microsoft\Edge\User Data」フォルダーの下位に存在するファイルのうち「Local State」が含まれたファイルを読み込み、encrypted_key を APPDATA%\masterkey.txt ファイルに保存する。その後 FTP を使用して masterkey.txt ファイルを jojoa.mypressonline[.]com/kmas.txt にアップロードする。これは、次に収集されるブラウザ関連のファイル内容を復号化するためのものと見られる。
encrypted_key のアップロード後、ブラウザに保存された情報を収集するために以下のファイルを検索して %APPDATA% フォルダーにコピーする。
| 収集パス | ローカル保存パス |
|---|---|
| %LOCALAPPDATA%\Google\Chrome\User Data 内の「Login Data」が含まれたファイル | %APPDATA%\LoginData_Chrome[n] |
| %LOCALAPPDATA%\Google\Chrome\User Data 内の「Login Data For Account」が含まれたファイル | %APPDATA%\LoginForAccount_Chrome[n] |
| %LOCALAPPDATA%\Google\Chrome\User Data 内の「Cookies」が含まれたファイル | %APPDATA%\Cookies_Chrome[n] |
| %LOCALAPPDATA%\Microsoft\Edge\User Data 内の「Login Data」が含まれたファイル | %APPDATA%\LoginData_msedge[n] |
| %LOCALAPPDATA%\Microsoft\Edge\User Data 内の「Login Data For Account」が含まれたファイル | %APPDATA%\LoginForAccount_msedge[n] |
| %LOCALAPPDATA%\Microsoft\Edge\User Data 内の「Cookies」が含まれたファイル | %APPDATA%\Cookies_msedge[n] |
コピーされたファイルはそれぞれ KLoginData、KCookie などのファイル名で攻撃者のサーバーにアップロードする。ファイル別のアップロードアドレスは以下の通りである。
- LoginData : jojoa.mypressonline[.]com/KLoginData_[Chrome/msedge][n]
- Login Data For Account : jojoa.mypressonline[.]com/KLoginForAccount_[Chrome/msedge][n]
- Cookies : jojoa.mypressonline[.]com/KCookie_[Chrome/msedge][n]
また、攻撃者は攻撃に使われた Powershell コマンドの確認を困難にさせるために Powershell コマンドの実行ログが保存される %APPDATA%\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt を削除するコードを追加していた。このように攻撃に使用されるスクリプトは変わり続けているため、ユーザーは特に注意が必要である。
[ファイル検知]
Downloader/DOC.Generic (2022.11.09.00)
Dropper/VBS.Generic (2022.11.16.03)
Downloader/PowerShell.Generic (2022.11.16.03)
[IOC]
59be2b9a3e33057b3d80574764ab0952
89d972f89b336ee07733c72f6f89edc5
8785b8e882eef125dc527736bb1c5704
okihs.mypressonline[.]com
jojoa.mypressonline[.]com
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報