본문 바로가기

악성코드 정보

[긴급] '스캔파일' 메일로 유포되는 워드 문서 주의 - Ammyy 유포

2019년 8월 9일 금요일 새벽 시간부터 국내 기업을 주로 대상으로 Ammyy 백도어를 유포하는 스팸 메일이 다수 유포되고 있어 사용자의 주의가 필요하다. 동일한 목적의 스팸 메일은 8월 8일부터 국외에서도 유포 되고 있으며, 국내에는 오늘 새벽 시간부터 집중적으로 유포되고 있다.

 

현재까지 확인 된 국내 기업을 대상으로 유포되고 있는 스팸 메일 제목은 '스캔파일' 이다. 해당 메일은  '스캔_(임의숫자).doc' 파일 이름의 Microsoft Office Word 워드 문서 파일을 첨부하고 있다. 메일 발송자는 '최성은'이며, 악성 워드 문서 내용은 '물품인수증'을 목적으로 한다. 발송자와 메일 제목 내용은 달라질 가능성이 높다. 악성 워드 문서 실행시 다음과 같은 화면이 보이며 사용자의 매크로 콘텐츠 사용 허용을 유도한다. 

 

악성 워드 문서 (국내 유포)
악성 워드 문서 (국외 유포)

워드 문서에 포함된 매크로 코드는 동작 방식에 따라 두 가지 유형이 확인되었다. 먼저 첫 번째 유형은 InternetExplorer 오브젝트를 이용해 외부 주소에 접속하여 파일을 다운로드 받는다. 다운로드 한 파일은 인코딩 된 바이너리 파일이며, 매크로 코드로 이를 디코딩 한 후 DLL 파일로 생성하여 실행한다. DLL 파일은 동작 과정에서 UPX로 패킹 된 내부 PE를 통해 외부 주소에 접속하여 파일 데이터를 받아오고, 이를 시스템 경로에 'rundl32.exe' (국내 유포 워드 문서) 또는 'dllhots.exe' (국외 유포 워드 문서) 파일 이름으로 Ammyy 백도어 파일을 생성한다. 문서 실행 이후에 프로세스 트리는 다음과 같이 그려진다.

 

 

 

두 번째 유형은 과거에 유포되었던 매크로 형태와 동일하며, 폼 객체 정보를 이용해 MSI 파일을 외부로부터 다운받아 실행한다. 위와 동일한 문서 내용이지만 동작 코드 형태가 다른 것이다. 

 

 

Downloader 악성코드 외에 백도어 악성코드도 차이점이 존재한다. 아래와 같이 “Ammyy Admin”이라는 문자열을 고치지 않고 그대로 사용했던 것과 달리 이번 FlawedAmmyy 악성코드는 “Popss Admin”이라는 이름으로 수정하였다.

 

최근까지 유출된 소스 코드를 그대로 사용했던 FlawedAmmyy
이번에 접수된 문자열이 수정된 형태의 FlawedAmmyy

 

그리고 FlawedAmmyy 백도어를 디코딩하고 생성할 때 마다 아래와 같이 PE 헤더의 특정 부분을 랜덤하게 생성하기 때문에 설치될 때 마다 다른 Hash 값을 가지게 되며, 이에 따라 동일한 인증서로 서명되어 있지만 유효하지 않는 것으로 확인된다.

 

생성될 때 마다 변경되는 FlawedAmmyy의 PE 헤더

 

안랩은 스팸 메일로 유포되는 악성 문서 파일과 다운로드 되는 실행 파일을 다음과 같이 진단하고 있다. 또한 악성 워드 파일이 접속하는 악성 C&C 주소를 ASD 네트워크를 통해 차단하고 있다. (V3 제품의 Active Defense 설정 옵션이 켜져 있는지 확인)

 

  • VBA/AMMacro.S10 (2019.08.09.02)
  • VBA/AMMacro.S11 (2019.08.09.04)
  • Win-Trojan/Suspig9.Exp (2019.08.09.02)