불특정 다수 대상 메일로 유포중인 악성 엑셀 매크로 주의!

ASEC 분석팀은 최근 동일한 유형의 악성 매크로를 포함한 엑셀 파일이 불특정 다수에게 메일을 통해 유포되고 있는 것을 포착하여 이를 소개하려고 한다.

이러한 유형의 엑셀 파일 내부에는 악성코드를 추가적으로 다운로드 받도록 하는 매크로가 포함되어있으며, 최근에는 불특정 다수를 대상으로 하는 회신메일에 협박성 문구와 악성 엑셀매크로 파일을 첨부한 것으로 확인되었다.

[그림 1] – 불특정 다수 대상 메일로 유포되고 있는 스팸메일(1)

[그림 2] – 불특정 다수 대상 메일로 유포되고 있는 스팸메일(2)

[그림 3] – 불특정 다수 대상 메일로 유포되고 있는 스팸메일(3)

확보한 EML 3개의 공통점으로는 사용자 메일에 대한 회신인 것처럼 속여 악성 매크로 엑셀파일을 유포하고 있다. 세 번째 이미지에서 알 수 있듯이 ‘위암 국제 학술대회(KINGCA week 2021)’ 초대메일에 대한 회신으로 위장하여 수신자로 하여금 메일을 확인하도록 유도하고 있다.

첨부파일을 내려받아 확인하게 되면 압축 파일명과 동일한 엑셀 파일이 존재한다.

[그림 4] – 압축파일 내부에 존재하는 엑셀 매크로 파일

[그림 5] – 숨겨진 시트들과 매크로를 허용하도록 유도하는 문구

2019년에 ASEC 블로그를 통해 상세하게 소개했던(*본 블로그 하단에서 링크 확인 가능) Excel 4.0 매크로(수식매크로)를 이용한 방식은 현재까지도 매우 빈번하게 확인되는 케이스이다. 일반적으로 수식매크로를 이용한 악성 엑셀파일은 크게 세 가지의 특징을 가지는데, 이는 다음과 같다.

1) 시트 숨김 조치
2) 숨겨진 시트 내부에는 흰색 글자로 분산은닉 한 매크로 존재
3) 외부URL로부터 추가 악성코드를 다운로드 및 실행

[그림 6] – 분산은닉 되어있는 수식매크로

[그림 7] – 엑셀 내부에서 확인되는 XML 파일 (sharedStrings.xml)

본문에서 소개하는 파일에서도 세 가지 특징이 모두 확인되고 있으며, 이는 내부 XML 파일을 확인해보면 명확하게 알 수 있다. 매크로가 실행되면 URLDownloadToFileA 함수를 이용하여 hxxp://[악성 IP]/[지정숫자].dat 형태의 URL 로부터 추가 실행파일이 다운로드 되며, 이렇게 내려받은 파일은 rundll32.exe 에 DllRegisterSever 파라미터로 로드되어 실행된다.

현재 해당 URL에 접근이 되지 않는 관계로 어떤 악성코드가 추가로 내려받아지는지는 명확히 알 수 없으나, 기존 공격사례들로 미루어보아 랜섬웨어, BokBot, QakBot 등과 같은 실행파일을 내려받을 것으로 추정된다.

사용자들은 출처가 불분명한 메일은 열람하지 말아야 하며, 사용하고 있는 백신 제품을 항상 최신 버전으로 업데이트하여 사용하려는 노력이 필요하다.

현재 V3에서는 위에서 소개한 파일들에 대해 다음과 같이 진단하고 있다.

[파일진단]

Downloader/XLS.XlmMacro
Downloader/XLS.Generic

 

[기존 Excel 4.0 매크로 관련 블로그]

[주의] 국내 기업을 대상으로 대량 유포되는 엑셀 파일 분석 – Ammyy 원격제어 백도어와 Clop 랜섬웨어 유포 – ASEC BLOG

최근 국내에서 가장 이슈가 되는 타겟형 공격은 기업을 대상으로 유포되고 있는 Ammyy 원격제어 백도어와 이를 통해 설치되는 Clop 랜섬웨어이다. 백도어 파일은 온라인에 공개되어 있는 Ammyy 원격제어 프로그램의 소스를 이용하여 제작되었고, 이를 공격 대상 PC에 심어 놓은 후 원격으로 시스템에 접근한다. 공격자가 장악한 시스템에서 최종 실행하고자 하는 악성 파일은 Clop 랜섬웨어이다. 특징적으로 이 공격은 유포과정에서 공격 대상 PC가 도메인 컨트롤러를 이용하고 있는 AD(Active Directory) 서비스 구조에 있는 …

QakBot과 동일한 방법으로 유포중인 IcedID(BokBot) – 악성 엑셀 다수 유포 중 – ASEC BLOG

ASEC 분석팀은 최근 국내 사용자를 대상으로 악성 매크로를 이용한 스팸 메일의 유입이 증가하고 있는 정황을 확인하였다. 유포가 증가한 악성 Excel 파일명은 document-1962646879.xls 와 같이 document-[랜덤한숫자].xls 의 형식을 갖는다. 2021/02/18 2021/02/19 2021/02/20 2021/02/22 2021/02/23 document-10584312.xls document-722570027.xls외 다수 document-1007202158.xls document-1061590730.x…

 

MD5

396971293048dd203c3aa05f55c49e4f

9533108a07c61ab8e743c68cac25f85e

e53c6b9d4d5f536a7ac2a2bd3f67e4a5

URL

http[:]//176[.]31[.]87[.]211/44342[.]2224001157[.]dat

http[:]//185[.]141[.]26[.]131/44342[.]4386916667[.]dat

http[:]//188[.]119[.]113[.]227/44342[.]4386916667[.]dat

http[:]//190[.]14[.]38[.]118/44342[.]2224001157[.]dat

http[:]//2[.]56[.]244[.]8/44342[.]4386916667[.]dat