미국 투자은행을 사칭한 악성 워드문서(External 연결 + VBA 매크로)

ASEC 분석팀에서는 대북관련, 공공기관 등으로 위장하여 유포되는 악성 문서를 지속적으로 보고하고 있다. 이번 소개할 내용은 미국 투자은행을 사칭하여 유포되는 악성 DOC(워드) 문서로 사칭 내용은 [그림 1]과 같다. 해당 악성 DOC(워드) 문서는 MAC OS 환경에서 동작하며 감염시 사용자 PC에 백도어를 설치한다.

[그림 1] 문서 내용

해당 악성 DOC(워드) 문서는 [그림 2] 와 같이 External 로 다운로드를 위한 악성 URL이 명시되어 있다. 따라서 문서 실행시 [그림 3] 과 같이 External 연결을 통해 악성 URL로 부터 추가 악성 문서를 다운로드 받아 실행되고, 추가 악성 문서에 포함된 공격자의 VBA 매크로 코드가 실행된다.

[그림 2] settings.xml.rels 내용(악성 문서의 다운로드 URL을 포함)

[그림 3] 실행시 악성 DOC를 다운로드하여 실행

[그림 4]는 추가 악성 문서에 포함된 공격자의 VBA 매크로 코드이다. 해당 매크로 코드로 인해 백도어 기능의 악성 자바스크립트(acme.js) 가 다운로드되고 실행된다.

[그림 4] 추가 악성 문서의 VBA 매크로 코드

[그림 5]는 해당 악성 자바스크립트(acme.js)의 메인 코드이다. 실행시 랜덤하게 Sleep을 수행하며 주기적으로 [그림 6]의 C2 URL 과 통신 한다. C2를 통해 받아오는 config 파일을 통해 자동 실행 등록, 추가 자바 스크립트 실행, 추가 프로그램 실행, 감염자 PC의 환경 조회기능 등이 실행 가능하며, [그림 7] 과 같은 추가 기능도 존재한다.

[그림 5] 다운로드되는 acme.js 의 메인 코드

[그림 6] 백도어 자바스크립트의 C2 URL

[그림 7] 다운로드되는 acme.js 의 추가 기능

이러한 문서들은 해외 투자은행 직원 및 관련 해외 기업으로 보내졌을 가능성이 크다. 사칭을 통한 사회공학적 기법의 공격이 다수 증가한 만큼 사용자들은 이러한 공격에 피해가 발생하지 않도록 주의를 기울여야 한다. 해당 파일은 자사 제품에서 아래와 같이 탐지 중이다.

[파일 진단]
Downloader/DOC.External
Downloader/DOC.Agent
Backdoor/JS.Agent

[IOC 정보]
hxxp://d2h7c4h2guvjrj.cloudfront.net

Categories:미분류

5 1 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments