ASEC 分析チームは正常なアレアハングルドキュメントに偽装した不正な LNK ファイルが配布されていることを確認した。国税庁を詐称した txt ファイルとともに配布されており、関連した内容が含まれた正常なアレアハングルドキュメントが実行され、ユーザーが不正なファイルであると認知することが難しい。最終的に実行される不正なスクリプトファイルは「製品紹介書に偽装した不正な Word ドキュメント」で紹介した不正なスクリプトと同じタイプであることが確認され、同じ攻撃者によって製作されたものと思われる。
最近確認された LNK ファイルは、以下のように主に税務調査に関連したファイル名で配布されている。
- 財務調査出席要求.hwp.lnk
- 取引事実確認申請書(購入者発行税金計算書 発行用)(付加価値税法施行規則).hwp.lnk
- 資金出所明細書(付加価値税法施行規則).hwp.lnk
- その他書式 第00号誠実報告確認書.hwp.lnk
- 所得税法 第20号(5) 主要経費支出明細書.hwp.lnk
- 領収書受け取り明細書.hwp.lnk
LNK ファイルは正常なテキストファイルとともに圧縮ファイル形態で配布されているものと推定される。攻撃者はこのテキストファイルに国税庁の職員を詐称した内容を含み、ユーザーが圧縮された不正な LNK ファイルを実行するように誘導する。

以下の図は、上記の圧縮ファイルに存在する「書類申告手続き案内.txt」ファイルに含まれた内容である。

不正な LNK ファイルは、以下の図のようにアレアハングルドキュメントのアイコンを偽装しており、実行時に PowerShell を通して不正な振る舞いが実行される。


LNK を通して実行された PowerShell コマンドでは LNK ファイル内部に存在する正常なアレアハングルドキュメントを「その他書式 第00号誠実報告確認書.hwp.lnk」の名前で生成および実行し、正常なドキュメントファイルを実行しているかのように偽装していた。

その後 %Public% フォルダーに 21358.cab ファイルと 24360.vbs ファイルを生成し、24360.vbs を実行した。このスクリプトコードでは以下のように主要な文字列が難読化されていた。

上記のスクリプトを実行すると、21358.cab 内部に圧縮されているファイルを %public%\documents フォルダーにコピーして生成し、start.vbs を実行する。その後 21358.cab ファイルと 24360.vbs を削除する。

start.vbs に存在するコードも主要な文字列が難読化されており、最終的に実行されるコードは fully.bat ファイルを実行する機能を担っている。
Set nnbhpbt = CreateObject("WScript.Shell")
ngqjeia = Left(WScript.ScriptFullName, InstrRev(WScript.ScriptFullName, "\" ) - 1)
nnbhpbt.Run ngqjeia & "\fully.bat", 0
Set nnbhpbt = Nothing
この bat ファイルは start.vbs ファイルが自動で実行されるように HKCU\Software\Microsoft\Windows\CurrentVersion\Run に svchostno2 として登録する。
その後 no1.bat と no4.bat ファイルを実行し、download.vbs を利用して hxxps://filecompact.com/list.php?q=%COMPUTERNAME%.txt から追加のファイルをダウンロードする。ダウンロードされたファイルは setup.cab に保存され、解凍後に削除される。

上記で実行された no1.bat は start01.vbs と start02.vbs を実行し、no4.bat ファイルはユーザー PC 情報を流出させるコードを含んでいる。
流出される情報は以下の通りである。
- dir C:\Users\%username%\downloads\ /s 結果
- dir C:\Users\%username%\documents\ /s 結果
- dir C:\Users\%username%\desktop\ /s 結果
- dir “C:\Program Files\” /s 結果
- nslookup myip.opendns.com resolver1.opendns.com 結果
- tasklist 結果
- systeminfo 結果
収集された情報はそれぞれ %public%\documents フォルダー内の cuserdown.txt、cuserdocu.txt、tsklt.txt などが保存される。その後、このファイルは upload.vbs を利用して hxxps://filecompact.com/upload.php に送信される。

no1.bat を通して実行された start01.vbs ファイルも難読化された文字列を含んでおり、hxxps://naver.filetodownload.com/v2/read/get.php?mi=ln3&te=10294765.txt から追加ファイルをダウンロードし、%public%\740997.zip に保存される。

start01.vbs と同じく no1.bat を通して実行された start02.vbs は事前にダウンロードした 740997.zip ファイルを %public% フォルダーに解凍し、「cmd.exe /c rundll32.exe“ファイル名” “,Run」コマンドを通して解凍したファイルを実行する。解析当時はこの URL から追加ファイルがダウンロードされなかったが、攻撃者によって様々なマルウェアがダウンロードされる可能性がある。
前で説明したアレアハングルドキュメント以外にも税金および明細書に関連した内容の正常なアレアハングルドキュメントを偽装した不正な LNK ファイルが多数確認されており、ユーザーは特に注意する必要がある。

[ファイル検知]
- Dropper/LNK.Agent (2023.01.18.02)
- Trojan/BAT.Agent (2023.01.19.00)
- Trojan/VBS.Agent (2023.01.19.00)
- Downloader/VBS.Generic (2023.01.19.00)
- Trojan/VBS.Obfuscated (2023.01.19.00)
- Trojan/VBS.Runner (2023.01.19.02)
- Trojan/VBS.Uploader (2023.01.19.00)
[IOC 情報]
- 85cc9cfe13f71967aca7b961a3cdf0be (LNK)
- 1bfe8d93ca1b2711fcf9958aa907abac (LNK)
- 5d479cbb619c98df370a1bb6c4190dff (LNK)
- c34cf6d8ef370906b12b42a0b83a3869 (LNK)
- ee8e160336bddbcc5f94f5f93565bfe8 (LNK)
- 8c0528c92510f100fe81b9e0ed0d3698 (LNK)
- d2470fe8a0c3b73acedadc284b380d00 (LNK)
- 5773b236d2263979c4af83efb661ad37 (LNK)
- 6ac02caaad3490df88ebc59e5e2ea6fa
- ceca17155cc484711a7df2d6c85de4ba
- 743f963dca043db8769cdfb6015af3af
- e60022a1e871de0f093edaa81a2ed762
- c11f2d5d9651f82007b6de56bac05652
- a05493d7f163c534e2a923789225ab82
- 9f4993fe2163df12812ec2ad42860334
- 306cd4d12bf80fd6f581d438f7e31c3c
- hxxps://filecompact[.]com/list.php?q=%COMPUTERNAME%.txt
- hxxps://filecompact[.]com/upload.php
- hxxps://naver.filetodownload[.]com/v2/read/get.php?mi=ln3&te=10294765.txt
- hxxps://the-fast-file[.]com/list.php?q=%COMPUTERNAME%.txt
- hxxps://the-fast-file[.]com/upload.php
- hxxps://naver.filedowns[.]net/v2/read/get.php?kioz=ln3&uwac=10294765.txt
- hxxps://fastfilestore[.]com/files/list.php?q=%COMPUTERNAME%.txt
- hxxps://fastfilestore[.]com/files/upload.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報