AhnLab Security Emergency response Center(ASEC)は最近 Kimsuky グループが製作したと思われる CHM マルウェアを確認した。このマルウェアのタイプは、以下の ASEC ブログおよび Kimsuky グループの配布マルウェア解析レポートでも紹介したマルウェアと同じであり、ユーザー情報の流出を目的としている。
- Kimsuky グループの配布マルウェア解析レポート(韓国語) – 2022.10.20
- Windows ヘルプファイル(*.chm)によって拡散している APT 攻撃 – 2022.03.22
- コイン紛失、給与明細書に偽装した不正なヘルプファイル (*.chm) – 2022.05.16
CHM ファイルは、圧縮ファイルの形態で電子メールに添付されて配布される。原文のメールでは、対北朝鮮関連の内容のインタビューに偽装しており、メールの受信者がこれを許可すると、暗号が設定された圧縮ファイルを添付して返信する。これは今まで解析された内容と類似して対北朝鮮関連のインタビューに偽装しているだけでなく、ユーザーがメールに返信した時のみ不正なファイルを伝達する同じ方法を使用していた。
- 正常なドキュメントに偽装したマルウェア(kimsuky) – 2023.02.15
- 攻撃者のメールに返信した場合に外部リンクで提供される Word ドキュメント (Kimsuky) – 2022.08.02
図1.拡散しているメール
図2.メール原文
図3.圧縮ファイルの内部
インタビューアンケート(***).chm ファイル実行時、以下のように実際の質問が作成されたヘルプウィンドウが表示され、ユーザーは不正なファイルであることを認知しにくい。
図4.アンケートに偽装した CHM
CHM には不正なスクリプトが存在し、以前紹介した CHM マルウェアと同じようにショートカットオブジェクト(ShortCut)を利用していた。ショートカットオブジェクトは Click メソッドによって呼び出され、Item1 項目に存在するコマンドが実行される。「インタビューアンケート(***).chm」によって実行されるコマンドは以下の通りである。
- 実行コマンド
cmd, /c echo [エンコードされたコマンド] > “%USERPROFILE%\Links\Document.dat” & start /MIN certutil -decode “%USERPROFILE%\Links\Document.dat” “%USERPROFILE%\Links\Document.vbs” & start /MIN REG ADD HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v Document /t REG_SZ /d “%USERPROFILE%\Links\Document.vbs” /f’
図5.CHM 内の不正なスクリプト
したがって CHM 実行時、エンコードされたコマンドが %USERPROFILE%\Links\Document.dat に保存され Certutil を利用してデコードしたコマンドを %USERPROFILE%\Links\Document.vbs に保存する。攻撃者は Document.vbs を Run キー(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)に登録し、不正なスクリプトが持続的に実行されるようにしていた。最終的に Document.vbs は hxxp://mpevalr.ria[.]monster/SmtInfo/demo.txt の PowerShell スクリプトコードを実行する。
図6.(上) Document.vbs コードの一部 / (下) 従来のレポートで確認された vbs コードの一部
Document.vbs で接続する URL に現在接続できないが、このアドレスからダウンロードされたと推定されるスクリプトが確認された。確認されたスクリプトファイルはユーザーのキー入力を窃取し、特定のファイルに保存した後、攻撃者に送信する機能を担っている。現在作業している ForegroundWindow のキャプションを読み込み、キーロガーを実行できるだけでなく、Clipboard 内容を周期的に確認し、%APPDATA%\Microsoft\Windows\Templates\Pages_Elements.xml ファイルに保存する。その後、このファイルを hxxp://mpevalr.ria[.]monster/SmtInfo/show.php に送信する。
図7.(上) demo.txt の一部 / (下) 従来のレポートで PowerShell スクリプトコードの一部
[図6]と[図7]でわかるように Document.vbs(VBS スクリプトファイル)と demo.txt(PowerShell スクリプトファイル)は、昨年 ATIP から公開された「Kimsuky グループの配布マルウェア解析レポート」で解析したマルウェアと同じ形態である。これを初めとして、Kimsuky グループは Word ドキュメント以外にも CHM のような様々な形態の不正なファイルを添付したフィッシングメールを配布していることが確認されたため、ユーザーのさらなる注意が要求される。
[ファイル検知]
Dropper/CHM.Generic (2023.03.07.00)
Data/BIN.Encoded (2023.03.07.00)
Downloader/VBS.Agent.SC186747 (2023.03.07.00)
Trojan/PowerShell.Agent.SC186246 (2023.02.09.00)
[ビヘイビア検知]
Execution/MDP.Cmd.M4230
[IOC]
MD5
726af41024d06df195784ae88f2849e4 (chm)
0f41d386e30e9f5ae5be4a707823fd78 (dat)
89c0e93813d3549efe7274a0b9597f6f (vbs)
9f560c90b7ba6f02233094ed03d9272e
C2
hxxp://mpevalr.ria[.]monster/SmtInfo/demo.txt
hxxp://mpevalr.ria[.]monster/SmtInfo/show.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報