AhnLab Security Emergency response Center (ASEC)は、不正なリンク(*.lnk)ファイルが公共機関を騙って配布されていることを確認した。攻撃者は、セキュリティメールに偽装した不正なスクリプト(HTML)ファイルをメールに添付して配布しているものと見られる。主に、南北統一、安全保障の関係者を対象とし、正常なドキュメントであるかのように見せるため、謝礼費支給に関する内容に偽装していることが特徴である。マルウェアの動作方式および C2 形式が、過去に共有した記事 [1] [2] と類似していることからして、同じ攻撃者によるものと推定される。
このタイプはユーザー情報の流出および追加のマルウェアをダウンロードするものであり、動作プロセスは以下の通りである。
メールに添付された HTML ファイルを開くと、以下のようにセキュリティメールに偽装したページのウィンドウが生成される。メール内には実際のセキュリティメールであるかのように見せるため、同時にパスワードを送信していたものと見られるが、実際には何も入力せずに確認ボタンをクリックしても、本文内容を確認できる。
本文には公共機関を騙った内容が記載されており、関連するタイトルの添付ファイルが存在する。
各圧縮ファイルには謝礼費様式の正常なアレアハングルドキュメントと共に、不正なリンク(LNK)ファイルが含まれている。
確認された不正な LNK のファイル名は以下の通りである。
| ファイル名 |
|---|
| 202310 イ** 教授統一部ランチミーティング中国問題関連講義依頼書(草案).hwp.lnk |
| 231025(統一部統一政策室)尹錫悦政府の対北朝鮮政策関連 1.5トラック専門家懇談会企画案.hwp.lnk |
| 231025 (統一部統一政策室)尹錫悦政府の対北朝鮮政策関連 1.5トラック専門家懇談会(非公開)企画案.hwp.lnk |
| 202311 チェ** 教授統一部ランチミーティング米中問題関連講義依頼書(草案).hwp.lnk |
LNK ファイルを開くと正常なアレアハングルドキュメントが実行されるため、ユーザーは不正な振る舞いが行われていることを認知することが困難である。
[表1]の「202310 イ** 教授統一部ランチミーティング中国問題関連講義依頼書(草案).hwp.lnk」を実行すると、TEMP フォルダーに正常なアレアハングルドキュメントと共に不正な VBS スクリプトファイルを作成し、実行する。
VBS コードは難読化されており、復号化するとレジストリの変更および外部 URL に接続してさらなるスクリプトを実行させるコードが確認できる。
- 接続 URL : hxxp://iso****.co[.]kr/adm/img/up/down0/list.php?query=1
[表1]で確認された LNK ファイルのうち「202311 チェ** 教授統一部ランチミーティング米中問題関連講義依頼書(草案).hwp.lnk」ファイルの場合、hxxp://m****[.]com/pg/adm/tdr/upi/down0/r_enc.bin から TutRAT マルウェアをダウンロードして fileless 形式で実行する。攻撃者はこれを活用して Base64 でエンコードされたデータをデコードして、それぞれ %temp%\client.ps1 と %tamp%\\version103.vbs に保存する。
その後 server IP を攻撃者のアドレスに設定し、「Main」 method を実行して攻撃者からコマンドを受け取り、キーロガー、ブラウザのアカウント情報の窃取、画面キャプチャー等の不正な振る舞いが実行されることがある。
- C&C : 165.154.230[.]24:8020
作成された各ファイルの機能は以下の通りである。
| ファイル名 | 機能 |
|---|---|
| client.ps1 | hxxp://ky****ek[.]com/js/sub/aos/dull/down1/r_enc.bin からさらなるマルウェアのダウンロードおよび実行 |
| version103.vbs | hxxp://ky****ek[.]com/js/sub/aos/dull/down1/list.php?query=1 からさらなるスクリプトコードのダウンロードおよび実行 |
version103.vbs で確認された hxxp://ky****ek[.]com/js/sub/aos/dull/down1/list.php?query=1 に接続するとさらなるアレアハングルドキュメントをダウンロードし、過去に確認されたものと同じくユーザー情報を収集して hxxp://ky****ek[.]com/js/sub/aos/dull/down1/show.php に送信する。
このタイプの場合、以下のようなファイル名でも配布されていることが確認され、関連する業務に従事している場合は注意が必要である。
| ファイル名 |
|---|
| 外信_ニュース_チャンネル_書面インタビュー質疑書_ビョン**教授(北-露_正常会談関連).hwp |
| 202311_パク**博士_統一部_ランチミーティング_中国問題関連_講義依頼書.hwp |
| 202310_チョ**博士_統一部_ランチミーティング_韓日問題関連_講義依頼書.hwp |
| 202310_アン**大使_統一部_ランチミーティング_米国問題関連_講義依頼書.hwp |
[ファイル検知]
Dropper/LNK.Agent (2023.09.07.02)
LNK/Runner.S1 (2019.04.25.00)
Trojan/LNK.PowerShell (2023.11.01.00)
Trojan/VBS.Obfuscated (2023.11.01.00)
Dropper/Script.Generic (2023.11.01.02)
Downloader/VBS.Agent (2023.11.09.00)
[IOC]
MD5
-lnk
b70bc31b537caf411f97a991d8292c5a
64dee04b6e6404c14d10971adf35c3a7
eb614c99614c3365bdc926a73ef7a492
fb5aec165279015f17b29f9f2c730976
-html
de7cd0de5372e7801dab5aafd9c19148
d00aa4b1a3cd9373d49c023580711170
209ac4185dfc1e4d72c035ecb7f98eac
-script
5E5A87D0034E80E6B86A64387779DC2E
40b7c3bced2975d70359a07c4f110f18
0040aa9762c2534ac44d9a6ae7024d15
C2
165.154.230[.]24:8020
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報