AhnLab SEcurity intelligence Center(ASEC)は、最近、ユーザー情報を窃取する不正な LNK ファイルが韓国国内のユーザーを対象に拡散している状況を確認した。このタイプは、仮想資産関連のデータ、ブラウザデータ、公認証明書、電子メールファイルなど、攻撃者にとって価値のある様々なデータを収集し、キーロガーも実行する。
確認された不正な LNK ファイルは、以下のように通知書に偽装したファイル名である。
| 地方税入収通知書.pdf.lnk |
| 性犯罪者身上情報通知.pdf.lnk |
[表1] 拡散しているファイル名
ユーザーが LNK ファイルを実行すると、攻撃者のサーバーからさらなる HTA ファイルを temp フォルダーにダウンロードして実行する。HTA ファイルには圧縮ファイル(ZIP)とおとりドキュメント(PDF)が含まれており、おとりドキュメントは以下の通りである。
 |
 |
[図1] 通知書に偽装したおとりドキュメント
圧縮ファイル(ZIP)には合計4つのファイル(1.log、2.log、1.ps1、1.vbs)が存在し、このうち実際に不正な動作を実行するファイルは Base64 でエンコードされた PowerShell スクリプトである 1.log と 2.log である。
 |
 |
[図2] デコードされた PowerShell スクリプトの一部(左側:1.log、右側:2.log)
1.log は情報収集および攻撃者のコマンド実行を行い、2.log はキーロギングを実行する。各ファイルの関数別機能は以下の通りである。
| ファイル | 関数名 | 機能 |
|---|---|---|
| 1.log | UploadFile | 攻撃者サーバーへのファイル送信 |
| Unprotect-Data | 暗号化されたブラウザ情報を DPAPI(Data Protection API)を利用して復号化および収集 | |
| GetExWFile | 複数の仮想資産財布(Wallet) ブラウザ拡張プログラムのデータファイル収集 | |
| GetBrowserData | ブラウザ(Edge、Chrome、Naver Whale、Firefox)のログインデータ、ブックマーク、拡張プログラムデータファイルの収集 | |
| Init | システム情報、行政電子署名認証書(GPKI)、共同認証書(NPKI)の収集 | |
| DownloadFile | ファイルのダウンロード | |
| CreateFileList | 特定のファイルパスの収集[対象拡張子]
[対象ファイル名]
|
|
| RegisterTask | Run キーの登録による持続性維持 | |
| Send | 収集されたデータを圧縮後、UploadFile 関数を通じてアップロード | |
| Get-ShortcutTargetPath | ショートカット(LNK)ファイルの対象パス取得 | |
| RecentFiles | 近年、閲覧したドキュメントおよびファイルパスの収集(Recent フォルダーに LNK 形式で存在、Get-ShortcutTargetPath を活用) | |
| Work | 周期的に攻者のサーバーと通信し、追加コマンドを実行(コマンド実行、ファイルアップロード/ダウンロード) | |
| 2.log | Keylog | キーロギングおよびクリップボードデータの収集 |
[表2] ファイルの関数別機能
特徴として、1.log を実行させる役割を担う 1.vbs スクリプトの一部で攻撃者が残した韓国語のコメントが確認された。
[図3] 1.vbs スクリプトの一部
また、「地方税入金通知書.pdf.lnk」配布に使用された URL は韓国国内のポータルサイトを偽装しており、[表2]で説明されたように Naver Whale ブラウザのデータ、行政電子署名証明書(GPKI)、共同証明書(NPKI)を収集する機能がある。これは、この攻撃が韓国国内のユーザーを対象としていることを裏付ける。
- 地方税入金通知書.pdf.lnk 配布 URL : hxxps://nid-naveroup.servepics[.]com/docs/revenue.zip
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム 「AhnLab TIP」 サブスクリプションサービスを通して確認できる。