AhnLab SEcurity intelligence Center(ASEC)では、Kimsuky 攻撃グループが最近 MS Office に含まれている数式エディタープログラムである EQNEDT32.EXE 関連の脆弱性(CVE-2017-11882)を悪用し、キーロガーマルウェアを配布した内容を確認した。攻撃者は、脆弱性を使用して mshta プロセスにより不正なスクリプトが挿入されたページを実行する方式でキーロガーマルウェアを配布した。
[図1] 数式エディタープログラム(EQNEDT32.exe)で実行される mshta.exe
[図2] C2 サーバー接続時の画面(mshta.exe)
mshta で接続する実際のページは http://xxxxxxxxxxx.xxxxxx.xxxxxxxx.com/images/png/error.phpで、「error.php」のファイル名を使用する。ユーザーにとっては[図2]のように「Not Found」というメッセージによって接続されなかったように見えるが、不正なスクリプトは実行される。
[図3] 不正なスクリプトの内容(error.php)
[図3]は error.php の内容である。主な振る舞いとしては、PowerShell コマンドで C2(Query=50)から追加のマルウェアをダウンロードして実行し、Users\Public\Pictures パス上に desktop.ini.bak ファイルを生成し、再実行のために HKLM 下の Run キーに「Clear Web History」という名前で desktop.ini.bak ファイルを登録する。PowerShell によって追加のマルウェアをダウンロードし実行したものの、攻撃者は wscript を実行する部分のコーディングを誤ったことで、Run キー登録とファイル生成に失敗した。再現のためにスクリプトを修正して正常に実行するとファイルが生成され、[図4]のように再実行のためのレジストリキー登録を正常に実行する。
[図4] 自動実行レジストリの登録
[図5] 不正なスクリプトの内容(50.php)
最初にダウンロードするマルウェアは PowerShell スクリプトであり、[図5]の通りである。システム情報、IP などの情報を収集して C2(Query=97)に転送し、キーロガーマルウェアを C2(Query=107)からダウンロードして実行する機能がある。
[図6] 不正なスクリプトの内容(107.php)
[図7] キーロガーデータの内容(desktop.ini.bak)
[図6]は、キーロガー機能の主要部分のスクリプトである。ユーザーのキー入力だけでなくクリップボードデータを Users\Public\Music パスに desktop.ini.bak ファイルとして生成し、記録する。ミューテックス「Global\AlreadyRunning19122345」値によって重複実行を防止し、収集されたデータは攻撃者が設定した時間範囲内のランダムな時間ごとに C2(Query=97)へ転送、および削除して再び生成する。全体的なプロセスの実行は、Process Monitor のプロセスツリーの通りである。
[図8] Process Monitor のプロセスツリー画面
Kimsuky 攻撃グループは、攻撃を成功させるために過去に多く使用した MS Office の数式エディタープログラム(EQNEDT32.EXE)関連の脆弱性(CVE-2017-11882)を現在も使用している。このような過去の脆弱性を悪用したマルウェア感染を防ぐためには、脆弱性へのパッチ適用が重要である。ソフトウェアは常に最新にアップデートしなければならず、EOS(End-Of-Service)となったソフトウェアの使用は差し控えなければならない。疑わしいドキュメントファイルは閲覧しないようにし、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払う必要がある。エンドポイントセキュリティ製品(V3)だけでなく、MDS のようなサンドボックスベースの APT ソリューションを導入してサイバー攻撃の被害を予防しなければならない。
[ファイル検知]
- Trojan/VBS.Agent.SC198696 (2024.03.29.00)
- Downloader/PowerShell.Agent.SC197158 (2024.02.26.03)
- Keylogger/PowerShell.Agent.SC197159 (2024.02.26.03)
[IOC] MD5
- 279c86f3796d14d2a4d89049c2b3fa2d
- 5bfeef520eb1e62ea2ef313bb979aeae
- d404ab9c8722fc97cceb95f258a2e70d
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
The post MS-Office 数式エディターの脆弱性を利用してインストールされるキーロガー (Kimsuky) appeared first on ASECブログ.