배달 앱을 위장한 악성코드 유포 주의

지난 5월 10일 ASEC 분석팀은 코로나-19(COVID-19)로 인하여 배달음식 소비가 급증하고 있는 가운데 공격자가 배달 어플리케이션을 미끼로 악성코드를 유포하고 있음을 확인하였다.

  • 주문할게요 앱.zip (압축파일명)
  • 주문할게요 앱\마케팅.docx (압축파일 내부 XML External 문서 악성코드)
  • 주문할게요 앱\수정사항.docx (압축파일 내부 XML External 문서 악성코드)

(이번에 발견된 악성 zip파일에 사용된 파일명은 정상 애플리케이션과 전혀 관련이 없으며 공격자가 해당 앱의 이름을 도용한 것으로 보인다.)

공격자가 사용한 XML External 기법은 과거 ASEC 블로그를 통해 소개한 바 있다.

이러한 공격 방식은 MS Office Open XML(OOXML) 문서 포맷의 템플릿(Template) 속성을 통해 실제 악성 매크로를 외부로부터 가져와 실행하며 해당 공격 기법을 템플릿 인젝션(Template Injection) 기법이라고 한다.

[그림 1] 템플릿 속성에 외부로 연결된 악성 URL
[그림 2] External 외부 연결 접속 실행 화면

MITRE ATT&CK에서도 해당 기법을 탐지 회피(Defense Evasion)로 분류하였듯이 악성 매크로가 최초 문서 파일에 존재하지 않고 External에 의해 추가로 다운로드되는 문서 파일에 존재하기 때문에 보안 제품에서 최초 문서 파일만으로는 악성 여부 판별이 어렵다.

Template 속성의 External에 의해 최종적으로 실행된 DOTM 파일에 존재하는 악성 매크로의 기능은 다음과 같다.

[그림 3] XML External에 의해 실행된 추가 악성 매크로 코드 일부
  • hxxp://kr2959.atwebpages.com/view.php?id=2에 접속하여 cvwiq.zip 다운로드 및 압축해제 -> C:\Users\Public\wieb.dat 경로에 PE 실행파일 생성
  • C:\Users\Public\nwib.bat 파일 생성 및 실행 -> “rundll32.exe “C:\Users\Public\wieb.dat” Run”, “del /f /q %0″” 명령어 실행
[그림 4] nwib.bat 배치 명령어

nwib.bat 파일에 의해 실행되는 wieb.dat은 rundll32.exe을 통해 실행되며 추가 악성 페이로드를 다운로드 및 실행한다.

최종적으로 실행된 페이로드는 다음과 같은 기능을 수행한다.

  • 키로거
  • 시스템 정보 수집(ipconfig /all, systeminfo, tasklist)
  • 클립보드 데이터 수집
  • 수집된 정보 C&C 전송

이러한 템플릿 인젝션 기법을 활용한 공격은 현재 공공기관, 대기업 등 국내 불특정 다수에게 스팸메일 형태 및 웹 사이트를 통해 유포되고 있는 정황이 확인되어 사용자들의 각별한 주의가 필요하다.

따라서 사용자는 출처가 불분명한 메일 열람을 지양하고, V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 해야 한다.

[파일진단]

  • Malware/Win.Generic.C4465648 (2021.05.11.01)
  • Trojan/Win.Akdoor.C4468947 (2021.05.13.00)
  • Downloader/DOTM.External (2021.05.13.00)

[IOC]

  • hxxp://kr2959.atwebpages.com/view.php?id=1
  • hxxp://kr2959.atwebpages.com/view.php?id=2
  • hxxp://kr2959.atwebpages.com/sel.php
  • hxxp://kr2959.atwebpages.com/buy.php
  • hxxp://kr2959.atwebpages.com/view.php?id=21504
0 0 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments