最近 AhnLab SEcurity intelligence Center(ASEC)では、ハングル (HWP) ファイルを使用して RokRAT マルウェアが配布されている状況を確認した。RokRAT マルウェアは一般的にショートカット (LNK) ファイル内部にデコイファイルと悪意のあるスクリプトを含む方式で配布された。しかし、最近では LNK ファイルを使用せず、ハングル文書 (HWP) を通じて配布される事例が確認された。
| ファイル名 |
|---|
| 250615_養殖販売所の運営状況.hwp |
| 最近の主要ポータルサイト .hwpx |
| [報告書] 付加価値税 1期 (確定) の申告書の提出方法について |
[表 1] RokRAT の配布に使用された文書ファイル名
その中で「250615_養殖販売所の運営状況.hwp」文書の内容は以下の図のとおりである。
[図 1] 文書内容
文書はユーザーの疑いを避けるため、ファイル名「250615_養殖販売所の運営状況」に合わせて北朝鮮の養殖販売所関連の内容を扱っている。
[図 2] ShallRunas.exe を実行するハイパーリンク
文書の下部には「[付録] 参考資料.docx」というハイパーリンクが挿入されており、ユーザーが該当リンクをクリックすると、%TEMP% 直下に存在する ShellRunas.exe の実行有無を尋ねる警告ウィンドウが表示される。ユーザーが「実行 (Run) 」を選択するとマルウェアに感染される。該当 ShellRunas.exe は攻撃者の C2 サーバーからダウンロードされるのではなく、文書内部に OLE オブジェクト形式で挿入されており、OLE オブジェクトが位置する文書ページにアクセスすると、ハングルプロセスによって %TEMP% 直下に自動的に作成される。
[図 3] ハングルプロセスによって自動生成された OLE オブジェクト (ShellRunas.exe、credui.dll)
攻撃者はハイパーリンクパスを %TEMP%\ShellRunas.exe に指定し、ハングルプロセスによって自動生成された ShellRunas.exe を実行させる。また、該当文書から ShellRunas.exe に該当する OLE オブジェクトの他に、credui.dll に該当する OLE オブジェクトも一緒に挿入され、%TEMP% フォルダーに共に作成される。ShellRunas.exe は Microsoft の証明書で署名された正常なプログラムである。実行すると、同じパスに位置する悪意のある DLL である credui.dll が DLL Side-Loading 技法によって読み込まれる。このタイプの攻撃では ShellRunas.exe の他にも、攻撃者が DLL Side-Loading 技法に使用した他の正常実行ファイルが以下のように確認された。
| 正常プログラム | ロード対象ファイル (悪意のあるファイル) |
|---|---|
| accessenum.exe | mpr.dll |
| ShellRunas.exe | credui.dll |
| hhc.exe | hha.dll |
[表 2] DLL サイドローディング手法に使用される正常プログラム
credui.dll は Dropbox にアップロードされた Father.jpg ファイルをダウンロードする。該当 JPG ファイルは人物写真のように見えるが、画像の特定の位置に RokRAT をメモリ上にロードするシェルコードが挿入されている。
[図 4] 画像に挿入されているシェルコード
最終的に実行される RokRAT マルウェアはユーザー情報を収集し、攻撃者のコマンドに応じてさまざまな悪意のある動作を行う可能性があるため、十分な注意が必要である。
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム 「AhnLab TIP」 サブスクリプションサービスを通して確認できる。
Categories: Uncategorized