AhnLab Security Emergency response Center(ASEC)では、特定の教授を騙って略歴様式ファイルに偽装した Word ドキュメントが電子メールで拡散されたことを確認した。
確認された Word ドキュメントのファイル名は「[添付] 略歴様式.doc」であり、暗号が設定されているが、電子メールの本文にパスワードが含まれている。
図1. メール原文
図2. Word ドキュメント本文内容の一部
図3. ドキュメントのプロパティ
Word ドキュメントの中には不正な VBA マクロが含まれており、マクロを有効化すると PowerShell を通じて C2 に接続し、追加スクリプトをダウンロードおよび実行する。
図4. 不正な VBA マクロコードの一部(難読化解除)
最終的に実行されるマルウェアのタイプはニュースのアンケートに偽装して拡散している不正な Word ドキュメントで確認されたタイプと一致し、ブラウザに保存された情報を収集する。
図5. 最終スクリプトコードの一部
しかし、FTP を利用してユーザー情報を流出する以前のコードとは違い、GitHub API を利用して特定の Repository に送信する変形スクリプトであることを確認した。
図6. GitHub API で収集した情報送信(最終スクリプトコードの一部)
この GitHub Repository には被害者から収集した情報と推定される情報がアップロードされている。
図7. GItHub にアップロードされた情報
また、最近 Red Eyes 攻撃グループ(also known as APT37、ScarCruft)も GitHub をマルウェアの配布元に活用した事例が確認された。(以下の References を参照)
このように攻撃に使用されるスクリプトは変わり続けているため、ユーザーは特に注意が必要である。
[ファイル検知]
Downloader/DOC.Generic (2023.02.22.02)
Trojan/PowerShell.FileUpload.S2023 (2023.02.25.00)
[IOC]
MD5
A25ACC6C420A1BB0FDC9456B4834C1B4
393CBA61A23BF8159053E352ABDD1A76
C2
hxxp://hmcks.realma.r-e[.]kr/gl/ee.txt
[References]
1) https://blog.sekoia.io/peeking-at-reaper-surveillance-operations-against-north-korea-defectors/
2) https://thehackernews.com/2023/03/scarcrufts-evolving-arsenal-researchers.html
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] MS Office ドキュメントファイルや[2] OneNote [3]、CHM […]