AhnLab SEcurity intelligence Center(ASEC)では最近、ユーザー情報を窃取する CHM マルウェアが韓国国内のユーザーを対象に配布されている状況を確認した。拡散している CHM は、以前から LNK、DOC、OneNote などの様々なフォーマットによって配布され続けられてきたタイプであり、最近動作プロセスに若干の変化が確認された。
- 関連記事
(2023.06.26) アレアハングルドキュメントファイルに偽装したマルウェア(Kimsuky)
(2023.03.27) 謝礼費支給の内容に偽装した OneNote マルウェア(Kimsuky)
(2023.03.13) 対北朝鮮関連のアンケートに偽装した CHM マルウェア(Kimsuky)
(2022.05.25) 様々なテーマの報道資料を詐称した Kimsuky の攻撃
全体的な実行のプロセスは[図1]の通りである。多数のスクリプトを通じて最終的にユーザー情報およびキーログデータを攻撃者に転送するタイプであり、各実行プロセスは以下で紹介する。
1. CHM
CHM を実行すると生成されるヘルプウィンドウは[図2]の通りであり、過去に利用していた文章をそのまま使用したものと思われる。このとき、CHM 内に存在する不正なスクリプトが同時に実行される。このスクリプトは「%USERPROFILE%\Links\Link.ini」パスにファイルを作成したあと実行する機能を担う。
2. Link.ini
Link.ini ファイルはスクリプトファイルであり、特定の URL に接続してさらなるスクリプトを実行する。従来は接続する URL の形式が「list.php?query=1」で使用されてきたが、このファイルにおいては「bootservice.php?query=1」に変更された。
3. bootservice.php?query=1 (Fileless)
この URL には Base64 でエンコードされた不正なスクリプトが存在し、デコードされたスクリプトは<Kimsuky グループの配布マルウェア解析レポート>で確認されたスクリプトと同じである。不正な機能としては、ユーザー情報の流出、不正なスクリプトファイルの作成およびサービス登録がある。
| システム情報 | システム所有者名 |
| コンピューターのメーカー名 | |
| 製品名 | |
| システムのタイプ | |
| OS バージョンおよびビルド番号 | |
| 使用可能なメモリのサイズ | |
| プロセッサーの現在速度 | |
| フォルダー内のファイル一覧 | C:\Users\[User]\Desktop |
| C:\Users\[User]\Documents | |
| C:\Users\[User]\Favorites | |
| C:\Users\[User]\AppData\Roaming\Microsoft\Windows\Recent | |
| C:\Program Files | |
| C:\Program Files(x86) | |
| C:\Users\[User]\Downloads | |
| 実行中のプロセス情報 | 実行ファイル名 |
| ProcessID | |
| SessionID | |
| アンチウイルス製品情報 (コードのみ存在し、実行は X) |
製品名 |
| プロバイダーのパス | |
| 固有識別子 | |
| ステータス情報 |
不正なスクリプトは「%USERPROFILE%\AppData\Local\Microsoft\Windows\Temporary Internet Files\OfficeUpdater_[分]_[時]_[日,月].ini」のパスに作成され、60分ごとに自動で開始されるようサービスに登録する。
4. OfficeUpdater_[分]_[時]_[日,月].ini
このファイルはサービスに登録され、定期的に動作して特定の URL に接続してさらなるスクリプトを実行する。同様に、接続する URL の形式が従来は「list.php?query=6」で使用されてきたが、「bootservice.php?query=6」に変更された。
5. bootservice.php?query=6 (Fileless)
この URL には3番のプロセスと同様に Base64 でエンコードされた不正なスクリプトが存在し、デコードされたスクリプトは PowerShell コマンドを通じて特定の URL に接続し、さらなるスクリプトを実行する。このとき、パラメーターで「InfoKey」およびエンコードされた URL 情報が同時に渡される。
6. loggerservice.php?idx=5 (Fileless)
この URL には PowerShell スクリプトが存在し、当該スクリプトは暗号化された Secure String をデコードしたあと実行する機能を担う。従来はこのプロセスにおいて decompress および Base64 など、比較的平易な難読化を使用していたが、検知を回避するためにより複雑な難読化形式に変更されたものと思われる。
デコードされたスクリプトは、キーロガーを実行する。キーログおよびクリップボードのデータを「%APPDATA%\Microsoft\Windows\Templates\Office_Config.xml」パスに保存したあと、保存されたデータを攻撃者に送信し、送信後は当該ファイルが削除される。
最近拡散が確認された CHM マルウェアの動作プロセスを見ると、以前から取り上げてきたタイプと非常に類似していることがわかる。同じ攻撃グループが製作したものと推定され、検知を回避するために様々な方式で難読化を行っているものと思われる。韓国国内のユーザーを対象に配布されていることもあり、ユーザーは出どころが不明なファイルを閲覧しないようにし、特に注意する必要がある。
[ファイル検知]
Dropper/CHM.Generic (2024.04.25.03)
[IOC]
b2c74dbf20824477c3e139b48833041b
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報