AhnLab Security Emergency response Center (ASEC)では、CHM、OneNote 等のファイル形式で配布されていたマルウェアが最近、実行ファイル形式で配布されていることを確認した。マルウェアで使用された単語および実行されるスクリプトコードが過去に解析を行ったコードと類似していることから、同じ攻撃グループ(Kimsuky)が制作したものと推定される。
- Kimsuky グループの配布マルウェア解析レポート(韓国語) – 2022.10.20
- 謝礼費支給の内容に偽装した OneNote マルウェア(Kimsuky) – 2023.03.27
- 対北朝鮮関連のアンケートに偽装した CHM マルウェア(Kimsuky) – 2023.03.13
- 様々なテーマの報道資料を詐称した Kimsuky の攻撃 – 2022.05.25
- 対北朝鮮関連の原稿要求事項を装った APT 攻撃の試み (Kimsuky) – 2022.02.22
確認されたマルウェアは圧縮ファイルの形式で配布され、内部に readme.txt とともにアレアハングルドキュメントの拡張子に偽装した実行ファイルが存在する。
readme.txt ファイルには以下のように不正な EXE ファイル(個人情報流出履歴.hwp.exe)の実行を誘導するメッセージが含まれている。不正な EXE ファイルは .NET でコンパイルされており、アレアハングルドキュメントのアイコンを使用してドキュメントファイルであるかのように装っている。また、拡張子が正常に表示されないようにファイル名にスペースが複数挿入されている。
上記の EXE ファイルの内部には Base64 でエンコードされた PowerShell コマンドが存在する。したがって、ファイルを実行するとこれをデコードして %APPDATA% フォルダーに update.vbs ファイルとして保存し、PowerShell を通じて生成した update.vbs ファイルを実行する。
その後、以下のようにメッセージボックスを生成してユーザーに不正な振る舞いが実行されていることが発覚されにくいようにする。メッセージ内容には以下[図4]のように朝鮮語を使用していることがわかる。
生成された update.vbs ファイルには、難読化されたコマンドが存在する。これをデコードすると hxxp://well-story.co[.]kr/adm/inc/js/list.php?query=1 からさらなるスクリプトをダウンロード、および実行するコードが確認できる。
上記 URL に存在するスクリプトだけでなく、その後実行されるスクリプトはすべて<Kimsuky グループの配布マルウェア解析レポート>で確認された内容と同じく、ユーザー情報の流出、キーロガー等の機能を実行する。確認された URL および生成されるファイルの機能は以下の通りである。
| URL およびファイル名 | 機能 |
|---|---|
| update.vbs | – 特定レジストリの変更 – hxxp://well-story.co[.]kr/adm/inc/js/list.php?query=1 スクリプトの実行 |
| hxxp://well-story.co[.]kr/adm/inc/js/list.php?query=1 | – 特定レジストリの変更 – OfficeAppManifest_v[分]_[時]_[日][月].xml の生成およびサービス登録 – hxxp://well-story.co[.]kr/adm/inc/js/lib.php?idx=1 スクリプトの実行 |
| OfficeAppManifest_v[分]_[時]_[日][月].xml | – hxxp://well-story.co[.]kr/adm/inc/js/list.php?query=6 スクリプトの実行 |
| hxxp://well-story.co[.]kr/adm/inc/js/list.php?query=6 | – hxxp://well-story.co[.]kr/adm/inc/js/lib.php?idx=5 スクリプトの実行 |
| hxxp://well-story.co[.]kr/adm/inc/js/lib.php?idx=5 | – Keylogger – hxxp://well-story.co[.]kr/adm/inc/js/show.php にキーロガーのデータを転送 |
| hxxp://well-story.co[.]kr/adm/inc/js/lib.php?idx=1 | – ユーザー PC 情報の収集 – hxxp://well-story.co[.]kr/adm/inc/js/show.php に収集したデータを転送 |
この時に収集される情報も、上記レポートで記載した内容と同様である。
このタイプのマルウェアの配布が持続的に確認されていることから、ユーザーは特に注意が必要である。ユーザーはメールの添付ファイルを開く時は必ず拡張子を確認し、不明なユーザーから共有されたファイルは開かないようにしなければならない。
[ファイル検知]
Dropper/Win.Agent.C5441936 (2023.06.16.02)
Trojan/VBS.Kimsuky (2023.03.21.03)
Trojan/PowerShell.Obfuscated (2023.03.14.00)
Trojan/PowerShell.KeyLogger (2023.05.09.00)
[IOC]
MD5
8133c5f663f89b01b30a052749b5a988 (exe)
91029801f6f3a415392ccfee8226be67 (script)
73174c9d586531153a5793d050a394a8 (script)
f05991652398406655a6a5eebe3e5f3a (script)
ec1b518541228072eb75463ce15c7bce (script)
URL
hxxp://well-story.co[.]kr/adm/inc/js/list.php?query=1
hxxp://well-story.co[.]kr/adm/inc/js/list.php?query=6
hxxp://well-story.co[.]kr/adm/inc/js/lib.php?idx=1
hxxp://well-story.co[.]kr/adm/inc/js/lib.php?idx=5
hxxp://well-story.co[.]kr/adm/inc/js/show.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報