Posted By yeeun , 2023年 August 9日

コインおよび投資関連内容に偽装したマルウェアが拡散中

AhnLab Security Emergency response Center(ASEC)は最近、コイン取引所および投資関連内容に偽装したマルウェアが拡散していることを確認した。マルウェアは実行ファイルおよび Word ドキュメント形式で配布されており、マルウェアで使用する User-Agent 名から Kimsuky グループが製作したものと推定される。確認されたファイル名は以下の通りである。

日付	ファイル名
07.17	20230717_030190045911.pdf .exe
07.28	0728-We***ウォレット資金自動引出し.docx.exe (推定)
07.28	230728 We***チーム – ウォレットハッキングの共通点.docx.exe (推定)
07.28	We***チーム-クラウド使用禁止.doc

表1. 確認されたファイル名

実行ファイル

[表1]で確認された実行ファイルは Word ドキュメントおよび PDF アイコンに偽装しているため、正常なドキュメントのように見せかけている。

上記の不正な実行ファイルは SFX(Self-extracting archive)形式で、内部に正常なドキュメントファイルが含まれている。そのため、ファイル実行時に下記の正常なドキュメントファイルが生成される。

各ドキュメントファイルは資産管理およびコイン取引所を詐称した内容が含まれている。ドキュメントの内容は以下の通りである。

図5. 230728 We***チーム – ウォレットハッキングの共通点.docx

各実行ファイルの archive content では、[図2]で確認された正常なドキュメントとともに、特定の URL に接続するコマンドが確認される。

そのため、ファイル実行時に正常なドキュメントを生成し、mshta.exe を活用して不正な URL に存在するスクリプトコードを実行する。解析当時、上記の URL には接続ができなかったため、正確な振る舞いの確認は不可能であった。確認された不正 URL は、以下の通りである。

hxxps://partner24[.]kr/mokozy/hope/biz.php
hxxps://partner24[.]kr/mokozy/hope/doc1.php
hxxps://partner24[.]kr/mokozy/hope/doc2.php

ドキュメントファイル

攻撃者は上記で説明した SFX 形式の実行ファイルの他、VBA マクロが含まれている Word ドキュメントも一緒に配布しているものと見られる。確認されたドキュメントファイルも不正な実行ファイルと同じコイン取引所に偽装したファイル名をしている。

ドキュメントファイルを実行すると、以下のように本文の文字の色が灰色に設定し、ユーザーがコンテンツの有効化ボタンをクリックするように誘導する。コンテンツの有効化ボタンをクリックすると、ドキュメントに含まれている VBA マクロコードが実行され、本文の文字の色が[図8]のように黒に変更されるため、本文の内容を確認することができる。

ドキュメントに含まれている VBA マクロを実行すると、%windir%\system32 フォルダーに存在する正常な wscript.exe を %appdata% フォルダーに word.exe という名前でコピーする。その後、hxxps://partner24[.]kr/mokozy/hope/kk.php から Base64 にエンコードされた追加のスクリプトをダウンロードしてデコードした後、%USERPROFILE% フォルダーに set.sl という名前で保存する。生成された set.sl は下記のコマンドによって実行される。

cmd /c %appdata%\word.exe //e:vbscript //b %USERPROFILE%\set.sl

解析当時、hxxps://partner24[.]kr/mokozy/hope/kk.php からダウンロードされたコードでは変わった不正な振る舞いが確認されなかったが、攻撃者の意図によって様々な不正なコマンドが実行される可能性がある。解析当時 set.sl に保存されていたコードは以下の通りである。

このマルウェアは、[図9]のマクロコードで User-Agent に Chrome ではない　Chnome　を使用していることから、Kimsuky グループで製作したものと推定される⁽¹⁾。また、実行ファイルとドキュメントファイルの両方とも、ファイル名に使用したコイン取引所名と接続する C2 アドレスが同じであることから、実行ファイルも同じ攻撃グループによって製作されたものと見られる。

現在、C2 に接続できないため、最終的に実行されるスクリプトは確認できなかったが、ユーザー情報の流出および追加マルウェアのダウンロードなど、様々な不正な振る舞いが実行される可能性があるため、ユーザーは特に注意する必要がある。

[ファイル検知]
Downloader/DOC.Generic (2023.07.28.03)
Downloader/Win.Agent (2023.07.31.03)

[AhnLab 製品別のビヘイビア検知]
V3 : Execution/MDP.Wscript.M4703
V3 : Execution/MDP.Wscript.M11242
EDR : Execution/EDR.Wscript.M11243
EDR : Execution/EDR.Mshta.M11245
MDS : Execution/MDP.Mshta.M4704
MDS : Execution/MDP.Mshta.M11244

[IOC]
8a5fd1e9c9841ff0253b2a6f1e533d0e (exe)
002105e21f1bddf68e59743c440e416a (exe)
17daf3ea7b80ee95792d4b3332a3390d (exe)
b6614471ebf288689d33808c376540e1 (word)
hxxps://partner24[.]kr/mokozy/hope/biz.php
hxxps://partner24[.]kr/mokozy/hope/doc1.php
hxxps://partner24[.]kr/mokozy/hope/doc2.php
hxxps://partner24[.]kr/mokozy/hope/kk.php

[References]
(1) https://securelist.com/kimsukys-golddragon-cluster-and-its-c2-operations/107258/

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報