부동산 투자관련 메일로 유포 중인 한글 악성코드 (EPS사용)

지난 4월부터 증가한 악성 한글 파일의 유포가 여전히 지속 되고있다. ASEC에서는 지난 주 부동한 투자관련 내용으로 위장한 한글 문서(.HWP)가 메일을 통해 유포되고 있음을 알리고자 한다. 아래 [그림1]과 같이 부동산 투자 관련한 제목의 메일에 여러개의 한글 문서들을 첨부하였고 이 첨부된 문서 중 악성 한글 파일을 포함하였다.

[그림1] – 메일 내용
[그림2] –  문서 내용
[그림3] – 문서 정보

메일과 문서 내용을 위와 같이 그럴듯하게 작성하여 사용자가 방심하도록 유도 후 악성 한글 파일을 실행하도록한다. 실행 된 이 한글 파일은 내부에 있는 악성 포스트스크립트(EPS)가 동작하여 악성의 기능을 수행하게 된다. 해당 EPS는 CVE-2017-8291 취약점을 발생시켜 내부 코드를 실행하도록 한다.

[그림4] – EPS 내부 악성 코드 

해당 코드는 %appdata%MicrosoftInternet Explorersecurity.vbs를 생성하여 동작하며 그 내용은 아래와 같이 악성 URL에 접속하여 추가 파일을 다운로드하고 해당 파일을 실행하도록 한다.

[그림5] – 추가 악성코드 다운로드 및 실행 코드
  1. 악성 파일 다운로드 주소 : https://sixbitsmedia.com/wp-content/uploads/wp-logs/category.php?uid=0
  2. 생성 파일 명 : %appdata%MicrosoftInternet Explorersecurity.db
  3. 실행 명령 : rundll32 security.db, InstallSafari
  4. C&C : https://mokawafm.com/wp-content/plugins/ckeditor-for-wordpress/ckeditor/plugins/image/dialog.php

추가 인코딩 된 악성 데이터를 다운로드하며 이 악성 파일은 위 코드에 명시된 것처럼 base64 디코딩을 수행하여 최종 DLL로 저장되어 실행한다. 위 rundll32 명령을 통해 알 수 있듯, 다운로드 된 DLL의 Export 함수인 InstallSafari가 동작되어 악의적인 행위를 수행한다. 이 악성 코드가 실행되면 https://mokawafm.com/wp-content/plugins/ckeditor-for-wordpress/ckeditor/plugins/image/dialog.php (51.81.21.96:443) C&C에 접속하여 시스템 정보를 전송 후 공격자로 부터 추가 데이터를 받을 수 있다.

사용자는 출처가 불분명한 발신자로부터의 메일 및 첨부파일을 열람, 실행하지 말아야한다. 현재 V3에서는 이와 같은 악성코드를 아래와 같이 진단하고 있다.

  • Downloader/HWP.Generic (2020.05.25.03)
  • Exploit/EPS.Generic (2020.05.25.04)
  • Backdoor/Win32.Agent.C4107539 (2020.05.25.04)
0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments