AhnLab Security Emergency response Center (ASEC)では、Kimsuky グループの APT 攻撃を絶えず追跡しており、先月5月の1か月間に確認された内容を紹介する。Kimsuky グループはマルウェアの配布にドキュメントファイルを多用してきたが、最近では CHM を利用した配布方式が多数確認されている。また、ほとんどのドキュメント内で対北朝鮮に関するテーマを扱っていたこれまでとは異なり、様々なテーマを利用して攻撃を試みている。
(1) 配布事例
5月の1か月間に確認された CHM マルウェアの配布ファイル名は以下の通りである。コイン、税務、契約書等、様々なテーマで配布されていることが確認でき、特定ユーザーの個人情報が利用されているものと見られる。
| 拡散ファイル名 |
|---|
| (Coinone)顧客取引確認書.chm |
| 202305050017 発注書 (1).chm |
| BITWAK 申請書.chm |
| 20230412_税務調査届出案内.chm |
| 2023年 年会費納入関連資料(****).chm |
| 賃貸借契約書修正版.chm |
| 納付書.chm |
| リーグ・オブ・レジェンドアカウント制裁案内(Riot Games).chm |
| 2023年第1回臨時総会書面決議書.chm |
| 教育費納入証明書.chm |
| CTP ロックアップ解除案内(***様).chm |
| 第23巻5号 掲載料関連資料(***).chm |
| 亀尾市総合ビジネス支援センター入居(更新)申請書資料(***).chm |
| 上場審議資料.chm |
| *** 4大保険加入証明資料.chm |
配布されている CHM マルウェアは実行すると正常なヘルプウィンドウを開き、内部の不正なスクリプトによって不正な振る舞いが実行される形式である。正常なファイルを装ったヘルプ画面によってユーザーを欺くため、不正な振る舞いが発覚しにくい。この時、ユーザーの PC に生成されるヘルプウィンドウは特定分野の従事者をターゲットとし、それぞれ異なるテーマを利用して偽装しており、代表的な事例は以下の通りである。
[図1]は、税務届出関連のユーザーを対象に国税庁の税務調査届出案内文に偽装したものである。5月は総合所得税の届出期間であるため、攻撃者はその点を利用したものと見られる。
[図2]は特定ユーザー間の金融取引に偽装したものである。実在するユーザーの口座番号や取引内容が確認でき、窃取した個人情報を利用したものと見られる。
[図3]はコイン取引に偽装したものである。2番の事例と同様、実在するユーザーの電子メール、電話番号等の個人情報が含まれている。
そのほかにも、[図4]のように契約書、証明書、発注書等が確認できる。代表的な配布ファイルは上記の通りである。特定人物の住民登録謄本、チケット予約購入履歴等の様々な形で配布されており、ユーザーは特に注意が必要である。
(2) 動作プロセス
この CHM タイプの全体的な動作プロセスは[図5]の通りである。ダウンロードされる複数のスクリプトによってユーザー情報の窃取、およびさらなるマルウェアのダウンロードが実行される。各プロセスは以下で説明する。
まず、CHM 内に存在する不正なスクリプトは[図6]の通りである。ショートカットオブジェクトによって不正なコマンドを実行し、ショートカットオブジェクトは Click メソッドを利用して呼び出される。
- 実行コマンド
cmd, /c start /MIN REG ADD HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v oeirituttvv /t REG_SZ /d “%USERPROFILE%\Links\oeirituttvv.vbs” /f & echo [エンコードされたコマンド] > “%USERPROFILE%\Links\oeirituttbb.dat” & echo [エンコードされたコマンド] > “%USERPROFILE%\Links\oeirituttvv.dat” & start /MIN certutil -decode “%USERPROFILE%\Links\oeirituttvv.dat” “%USERPROFILE%\Links\oeirituttvv.vbs” & start /MIN certutil -decode “%USERPROFILE%\Links\oeirituttbb.dat” “%USERPROFILE%\Links\oeirituttbb.bat” & start /MIN timeout -t 1 /nobreak & start /MIN CScript “%USERPROFILE%\Links\oeirituttvv.vbs” & start /MIN timeout -t 2 /nobreak & start /MIN CScript “%USERPROFILE%\Links\oeirituttvv.vbs
このコマンドの機能は2つのエンコードされたコマンドをそれぞれ「%USERPROFILE%\Links\oeirituttbb.dat」および「%USERPROFILE%\Links\oeirituttvv.dat」に保存し、certutil を通じてデコードされたコマンドを oeirituttbb.vbs と oeirituttvv.bat ファイルに保存する。その後 oeirituttbb.vbs を実行し oeirituttbb.vbs ファイルを RUN キーに登録して持続的に実行されるようにする。
oeirituttbb.vbs は同時に生成された oeirituttvv.bat ファイルを実行する Runner である。oeirituttvv.bat は curl によってさらなる不正なファイルをダウンロードする機能を実行し、ダウンロードされるファイルは合計2つ、BAT ファイルと CAB ファイルである。
- ダウンロード URL
hxxp://vndjgheruewy1[.]com/tnd/pung03.txt
hxxp://vndjgheruewy1[.]com/tnd/qung03.txt
ダウンロードされた BAT ファイル(pung03.bat)は CAB ファイル(qung03.cab)の圧縮を解凍したあと、temprr03.bat を実行する。CAB ファイル内部には合計6つのスクリプトが存在し、各スクリプトの機能は[表2]の通りである。
| ファイル名 | 機能 |
|---|---|
| temprr03.bat | loyes03.bat の実行 |
| loyes03.bat | RunKey 登録 (mnasrt.vbs) loyestemp03.bat の実行 dwpp.vbs の実行 |
| mnasrt.vbs | loyes03.bat の実行 |
| loyestemp03.bat | ユーザー情報収集 uwpp.vbs の実行 |
| dwpp.vbs | CAB ダウンロード |
| uwpp.vbs | ユーザー情報のアップロード |
このスクリプトにより実行される最終的な不正な振る舞いは、ユーザー情報の窃取およびさらなる不正なファイルのダウンロードである。
| ファイル名 | 保存する情報 |
|---|---|
| cudk.txt | デスクトップ画面のファイルリスト(サブフォルダーを含む) |
| ipif.txt | IP 情報 |
| stif.txt | システム情報 |
ユーザー情報窃取コードは[図9]の通りで、窃取される情報は[表3]の通りである。loyestemp03.bat を通じてユーザー情報を収集し、uwpp.vbs を通じて収集したユーザー情報をコンピュータ名と共に「hxxp://vndjgheruewy1[.]com/uun06/uwpp.php」に転送する。
ファイルのダウンロードコードは[図10]の通りである。攻撃者は窃取したユーザー情報を確認し、攻撃対象のシステムである場合に限り、さらなる不正なファイルを C2 にアップロードするものと思われる。攻撃対象のシステムである場合、攻撃者は感染 PC のコンピュータ名でファイルをアップロードする。感染した PC は RunKey に登録されたスクリプトによって持続的にダウンロードを試みるようになり、追加のファイルがアップロードされたときにダウンロードが実行される。その後、ダウンロードされたファイルは expand コマンドによって解凍して実行することから、追加のファイルも CAB ファイルと推定される。
- ダウンロード URL
hxxp://vndjgheruewy1[.]com/jun06/dw_%COMPUTERNAME%.dat
このように、攻撃対象によってダウンロードされる不正なファイルのタイプが異なる場合があり、より緻密な攻撃が可能になる。最近は個人情報等を利用して特定のユーザーをターゲットとするマルウェアの配布が増加しており、APT 攻撃に CHM ファイルを利用する事例が頻繁に確認されている。ユーザーはメールの送信者を注意深く確認し、出どころが不明なファイルは閲覧しないようにしなければならない。また、PC のチェックを定期的に実行し、セキュリティ製品は常に最新バージョンにアップデートしなければならない。
[ファイル検知]
Downloader/CHM.Generic (2023.06.03.00)
Trojan/BAT.Runner (2023.06.17.00)
Trojan/VBS.Runner (2023.06.17.00)
Downloader/BAT.Generic (2023.06.17.00)
Downloader/VBS.Generic (2023.06.17.00)
Infostealer/BAT.Generic (2023.06.17.00)
Infostealer/VBS.Generic (2023.06.17.00)
[ビヘイビア検知]
Execution/MDP.Certutil.M4622
[IOC]
b5a873ee6b839cbd03789115fc3ae944
9861999409cdbc1f7c4c1079d348697c
7c7b8dd6dd4ba7b443e84287671f0e79
98764ae00cee9f2cc87530601c159387
d62dcb76fa0fb4b725ea9c8643874ae7
e9e56ee78e019e09d5dbe0bb373adf09
ef58a1326b98feccc90c4d37a8ce2fe2
ae6fdb8945991b587ab790c2121345ce
075160d6c8d82b96d1ae7893761695a6
e5b0430290dc71193b7ea2fc829a9910
hxxp://vndjgheruewy1[.]com/tnd/pung03.txt
hxxp://vndjgheruewy1[.]com/tnd/qung03.txt
hxxp://vndjgheruewy1[.]com/uun06/uwpp.php
hxxp://vndjgheruewy1[.]com/jun06/dw_%COMPUTERNAME%.dat
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報