QakBot과 동일한 방법으로 유포중인 IcedID(BokBot) – 악성 엑셀 다수 유포 중

ASEC 분석팀은 최근 국내 사용자를 대상으로 악성 매크로를 이용한 스팸 메일의 유입이 증가하고 있는 정황을 확인하였다. 유포가 증가한 악성 Excel 파일명은 document-1962646879.xls 와 같이 document-[랜덤한숫자].xls 의 형식을 갖는다.

2021/02/182021/02/192021/02/202021/02/222021/02/23
document-10584312.xls document-722570027.xls
외 다수
document-1007202158.xls document-1061590730.xls
외 다수
document-685793410.xls document-755852080.xls
외 다수
document-1121510433.xls document-1135287541.xls
외 다수
document-1688341436.xls
document-1962646879.xls
외 다수
악성 Excel 유포 현황 및 유포 파일명

악성 매크로 Excel파일을 유포 중인 스팸 메일

압축 파일이 첨부되어 발송되는 스팸 메일에서 첨부 파일을 다운로드 받게 되면, 해당 압축 파일에는 Excel 파일이 포함되어 있는 것을 확인할 수 있다.

악성 Excel 매크로파일을 압축한 첨부파일

문서를 실행하면 아래와 같은 문구를 통해 사용자의 호기심을 자극한다. DOCUSIGN에 의해 문서가 인코딩 되어있음을 암시하며, 암호화 된 문서를 확인하기 위해서는 ‘편집 활성화(Enable Editing)’ 혹은 ‘콘텐츠 사용(Enable Content)’ 버튼을 클릭하도록 유도하는 것이다.

사용자의 호기심을 자극하는 문구

해당 Excel 파일은 수식 매크로(Excel 4.0 매크로)를 사용하여 악성 실행파일을 다운로드 하며, rundll32.exe 를 이용하여 내려받은 dll 파일을 실행하게 된다.

수식 매크로 셀에 기입된 다운로드 URL 을 비롯한 텍스트는, DocuSign 시트가 아닌 Doc1/Doc2 시트 내에 하얀색 글씨를 사용하여 분산은닉 해두었다. 분석 당시에는 대부분의 다운로드 URL이 끊긴 상태로 확인되어 유사한 파일을 이용하여 분석하였다.

분산은닉 되어있는 수식매크로

Excel 4.0 매크로를 이용하여 Excel의 셀에서 다운로더 기능을 수행하는 코드를 실행하는데 간략한 과정은 다음과 같다. URLDownloadToFile 함수를 이용하여 hxxps://malware_url/(number).gif 형식의 악성URL에서 실행파일을 다운로드 받으며, 이렇게 내려받은 rieuro.vnt 파일은 확장자가 dll 로 변경되어 rundll32.exe 에 DllRegisterServer 파라미터로 로드되어 실행된다.

이러한 방식은 기존 ASEC 블로그에서 지속적으로 소개해왔던 QakBot 악성코드의 유포방식과 동일하다.

셀 수식에 입력 되어있는 URL을 통해 QakBot으로 추정되는 실행파일을 내려받을 것으로 예상했으나, 다운로드 된 dll파일을 실행하여 분석 시 QakBot 이 아닌 IcedID(BokBot) 악성코드로 확인되었다.

2017년 말에 처음 발견된 IcedID 악성코드는 BokBot 으로도 불리는데, IcedID 또한 HTTPS 웹페이지를 변조하는 모듈형 뱅킹 악성코드이다. 다운로드 받은 dll파일을 동작 시켰을 때 발생하는 패킷을 분석해보면, IcedID 악성코드의 방식과 동일함을 확인할 수 있다.

IcedID(BokBot) 실행 시 발생하는 패킷

Cookie 항목의미
_gads디코딩 된 config 데이터
서버인증서 플래그
‘-id=’ 파라미터로 전달된 임의의 숫자
프로세스 수
_gat윈도우버전 정보
_ga프로세서 정보
_u사용자이름 & 컴퓨터이름
_ioSID 기반의 도메인 식별자
_gidNIC 물리주소
패킷 내 Cookie 헤더의 의미

사용자들은 출처가 불분명한 메일 열람 시 주의해야 하며, 첨부파일을 최대한 실행하지 않도록 해야 한다.

현재 V3 제품에서는 관련 파일에 대해 다음과 같이 진단하고 있다.

  • Trojan/Win64.IcedID
  • Trojan/XLS.Agent

[IOC 정보]

  • MD5 : cd395ad83c4ca080c1bd9bce1341e01f
  • hxxps://mavenconsulting.com[.]pk/ds/2202.gif
  • hxxp://prolomstenn[.]fun

5 1 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments