ASEC 分析チームは、1月8日に安保分野の従事者を対象に原稿委託書に偽装したドキュメントタイプのマルウェアを配布した状況を確認した。確保されたマルウェアは Word ドキュメント内 External を通して追加の不正なマクロを実行する。このような技法はテンプレートインジェクション(Template Injection)技法と呼ばれ、以前のブログで似たような事例を紹介したことがある。
Word ドキュメントを実行すると、攻撃者の C&C サーバーから追加の不正な Word マクロドキュメントをダウンロードして実行する。追加で実行されるマクロは、バックグラウンドでマクロコードが実行されていることをユーザーに気づかせないよう、正常なドキュメントファイルとともに実行されるようになっている。
攻撃者がともに配布した正常なドキュメントファイルは、韓国語で作成されているが、中国語が含まれており、攻撃者は中国語の Word 環境を使用しているものと推定される。
正常なドキュメントの実行後は、情報流出スクリプトをダウンロードして実行し、スクリプトの機能は以下の情報を C&C サーバーに流出させる。
- 感染 PC のシステム情報
- 最近開いた Word ドキュメントリスト
- システム内ダウンロードフォルダーパス情報
- IE 関連レジストリキーの修正
- C&C サーバー接続維持のためのタスクスケジューラ登録
- システムにインストールされたアンチウイルス情報
特に攻撃者の C&C サーバー IP(112.175.85.243)は1月10日のブログで紹介した「kakao ログイン画面に偽装した Web ページ」で使用されたドメインと類似したフィッシングドメインが、この IP から追加で発見され、同じ攻撃者であると推定できる。
最近になってテンプレートインジェクション技法を使用した APT 攻撃が増加している。テンプレートインジェクション技法は主にメールの添付ファイル形態で配布されるケースが多く、感染予防のために出どころの不明なメールの送信者の添付ファイルはなるべく実行しないようにすることが重要である。
現在 AhnLab V3 製品は関連するマルウェアを以下のような検知名で検知している。
[IOC]
[External を利用した Word ドキュメント]
[MD5、検知名(エンジンバージョン)]
– 2c9d6f178f652c44873edad3ae98fff5 – Downloader/DOC.External (2023.01.10.03)
– 68e79490ed1563904791ca54c97b680a – Downloader/DOC.External (2023.01.10.03)
[追加ダウンロード Word マクロドキュメント]
– dd954121027d662158dcad24c21d04ba – Downloader/DOC.Kimsuky (2023.01.10.03)
– f22899abfa82e34f6e59fa97847c7dfd – Downloader/DOC.Kimsuky (2023.01.10.03)
[情報流出スクリプト]
– 3fe5ce0be3ce20b0c3c9a6cd0dae4ae9 – Downloader/VBS.Generic.SC185541 (2023.01.10.03)
– 2244f8798062d4cef23255836a2b4569 – Downloader/VBS.Generic.SC185542 (2023.01.10.03)
[C&C]
– hxxp://lifehelper[.]kr/gnuboard4/bbs/img/upload1/temp.dotm
– hxxp://lifehelper[.]kr/gnuboard4/bbs/img/upload/temp.dotm
– hxxp://lifehelper[.]kr/gnuboard4/bbs/img/upload1/temp.docx
– hxxp://lifehelper[.]kr/gnuboard4/bbs/img/upload/temp.docx
– hxxp://lifehelper[.]kr/gnuboard4/bbs/img/upload1/list.php?query=1
– hxxp://lifehelper[.]kr/gnuboard4/bbs/img/upload/list.php?query=1
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報