ASEC 분석팀은 피싱메일에 악성 파워포인트(*.PPT) 파일이 첨부되어 유포중인 것을 확인하였다. 악성코드가 유포되고 동작하는 방식은 ASEC 블로그를 통해 지속적으로 소개해왔던 방식에서 크게 벗어나지 않으며, 기존에 사용했던 방법들을 조합한 것이 특징이라고 할 수 있다.
지난 2020년 7월에 ASEC블로그에 소개한 내용(‘AgentTesla 악성코드 국내에 어떻게 유포되고 있나?’)은 공격자가 Pastebin 서비스를 사용하여 AgentTesla 를 유포한 것이며, 11월에 소개한 내용(‘국세청 ‘전자세금계산서’ 사칭한 Lokibot 유포’)은 Blogspot 웹페이지에 악성 스크립트 코드를 삽입하여 Lokibot 악성코드를 유포하는 것을 담은 내용이다.
이번에는 위의 방법 두 가지를 조합하여, Blogspot 웹페이지에 삽입한 악성 스크립트 코드를 통해 AgentTesla 를 유포한 것으로 확인된다. 지난주에 소개한 주간 악성코드 통계에서도 알 수 있듯이, AgentTesla는 사용자 정보를 유출하는 인포스틸러 유형의 악성코드 중 가장 많은 비중을 차지하고 있다.
위의 메일과 같이 PPT 파일을 메일에 첨부하였는데, 최종적으로 동작하게 되는 AgentTesla 악성코드는 웹에 업로드 된 스크립트 코드에 의해 실행된다. 즉, 첨부된 PPT파일을 실행하면 Auto_Open 함수에 의해 악성 매크로 코드가 실행되는데, 이 때 mshta.exe 를 이용하여 악성 URL에 접근하는 기능이 존재한다.
매크로 코드에 존재하는 URL을 웹브라우저를 통해 접근해보면, 별도의 악성행위가 확인되지 않는 빈 블로그로 보이지만, 웹소스를 확인해보면 악성 스크립트가 삽입되어 있는 것을 알 수 있다.
악성 스크립트가 삽입된 부분은 세 군데이며, 각 스크립트를 복호화하면 악성 VBS코드를 확인할 수 있다.
첫번째 악성 스크립트를 복호화 한 VBS코드에서는 AgentTesla 악성코드가 존재하는 URL을 확보할 수 있다. 아래 그림과 같이 해당 URL에 접근해보면 인코딩 된 바이너리를 확인할 수 있으며, 이는 궁극적으로 AgentTesla 악성코드가 Fileless 형태로 동작할 수 있도록 한다.
아래의 그림은 자사 RAPIT 시스템에서 확인되는 프로세스 트리이며, schtasks.exe 의 커맨드라인에서 확인할 수 있듯이 80분의 주기로 특정 Blogspot 웹페이지에 리다이렉트 하도록 스케쥴을 등록한다.
동일한 VBA 코드가 삽입된 유사 PPT파일들을 추가 확보하여 분석 결과, 본 샘플과 동일하게 mshta.exe 를 사용하여 특정 페이지에 접속하는 방식을 사용하여 AgentTesla 악성코드가 유포되는 것을 확인할 수 있었다.
사용자들은 출처가 불분명한 메일을 확인할 때에는 항상 주의해야 하며, 사용하고 있는 백신도 최신 버전으로 유지하고자 하는 노력이 필요하다.
현재 V3에서는 위와 같은 악성코드를 다음과 같이 진단하고 있다.
- Downloader/PPT.Generic
- Trojan/Win32.RL_AgentTesla.C4368221
V3 행위진단 옵션을 사용중일 경우 아래와 같이 의심스러운 mshta.exe 행위는 차단된다.
[C2]
hxxp://103.133.105[.]179/1010/inc/33b44fe4fae0b0.php
[HASH]
2d756f01b73abefabe75278d95196ef7
84c805a7d4d526ed6fa9bb5ed006f2bf
Categories:악성코드 정보