ASEC 分析チームは最近、大学院教授をターゲットに対北朝鮮関連の原稿要求事項を装った不正な Word(DOC)ドキュメントが配布された状況を確認した。この Word ドキュメントは以下の名前で配布されており、ドキュメント名に言及されている KIMA は韓国軍事問題研究院が発行する安保、国防、軍事分野の専門月刊誌の名称である。
- 3月月刊 KIMA 原稿_要求事項.doc
攻撃者は特定の大学に所属する教授をターゲットに、スピアフィッシング攻撃を行った。不正な Word ドキュメントのマクロ機能および全体的な動作方式は[図1]の通りであり、攻撃者サーバーから追加のコマンド(VBS(Visual Basic Script)スクリプト)をダウンロードしてメモリ上でこれを実行する。
実行された VBS コードが攻撃者の C&C サーバーと通信する方式は、過去の ASEC ブログ(特定の論文の不正な Word ドキュメントを利用した APT 攻撃)を通じて紹介した内容と類似している。
https://asec.ahnlab.com/jp/27907/
解析当時に確保した攻撃者サーバーからダウンロードされた VBS コードは、ユーザー PC で以下のような情報を収集および流出させている。
- 基本的なシステム情報の収集(コンピューター名、所有者情報、メーカー、コンピューターのモデル、システムの種類)
- OS 情報(OS、OS バージョン情報、メモリ容量)
- プロセッサ情報
- アンチウイルス製品情報
- 実行中のプロセス情報
- 特定フォルダー内のファイルリスト情報(デスクトップ、マイドキュメント、お気に入りフォルダー、Recent フォルダー、ProgramFiles、ダウンロード)
- 最近開いた Word ドキュメント名
これ以外にも、スクリプトはユーザー PC の「%AppData%\Microsoft\Templates」パスに「OfficeAppManifest_[分]_[時]_[日]_[月].ini」という名前で VBS ファイルを生成する。その後 Microsoft に偽装したサービスにより当該スクリプトを実行するサービスを登録する。これは、スクリプトを持続して実行させるためであると推定される。登録されたサービスは最初に実行された Word マクロ機能と類似した方式であり、攻撃者サーバーからのコマンドを待機する。
- 「OfficeAppManifest_[分]_[時]_[日]_[月].ini」 // 分、時、日、月はダウンロードされたスクリプトが最初に実行された時間
このようなドキュメント型 APT 攻撃手法は、昨年の1年間で当社 ASD(AhnLab Smart Defense)インフラにおいて最も多く確認されたタイプである。
AhnLab 製品では、以下のようにこのマルウェアを検知している。
[IOC および検知名(エンジンバージョン)]
[MD5]
– 89ea8dff2ed6380b756640bc5ba7e7d0 (Downloader/DOC.Kimsuky (2022.02.10.03))
(3月月刊 KIMA 原稿_要求事項.doc)
– 4cb18d33a729eeea494238dcc1bdb278 (Downloader/VBS.Agent (2022.02.11.00))
(攻撃者サーバーからダウンロードされた VBS コード)
– 54a11842db77475f2aaab5b2dc8a9319
(OfficeAppManifest_[分]_[時]_[日]_[月].ini)
[攻撃者 C&C]
– http[:]//thdde.scienceontheweb[.]net/accout/list.php?query=1 (DOC マクロが接続する C&C サーバーのアドレス)
– http[:]//thdde.scienceontheweb[.]net/accout/list.php?query=6 (VBS コードが接続する C&C サーバーのアドレス)
Categories: マルウェアの情報