불특정 다수 대상 메일로 유포중인 악성 엑셀 매크로 주의!

ASEC 분석팀은 최근 동일한 유형의 악성 매크로를 포함한 엑셀 파일이 불특정 다수에게 메일을 통해 유포되고 있는 것을 포착하여 이를 소개하려고 한다.

이러한 유형의 엑셀 파일 내부에는 악성코드를 추가적으로 다운로드 받도록 하는 매크로가 포함되어있으며, 최근에는 불특정 다수를 대상으로 하는 회신메일에 협박성 문구와 악성 엑셀매크로 파일을 첨부한 것으로 확인되었다.

[그림 1] – 불특정 다수 대상 메일로 유포되고 있는 스팸메일(1)
[그림 2] – 불특정 다수 대상 메일로 유포되고 있는 스팸메일(2)
[그림 3] – 불특정 다수 대상 메일로 유포되고 있는 스팸메일(3)

확보한 EML 3개의 공통점으로는 사용자 메일에 대한 회신인 것처럼 속여 악성 매크로 엑셀파일을 유포하고 있다. 세 번째 이미지에서 알 수 있듯이 ‘위암 국제 학술대회(KINGCA week 2021)’ 초대메일에 대한 회신으로 위장하여 수신자로 하여금 메일을 확인하도록 유도하고 있다.

첨부파일을 내려받아 확인하게 되면 압축 파일명과 동일한 엑셀 파일이 존재한다.

[그림 4] – 압축파일 내부에 존재하는 엑셀 매크로 파일
[그림 5] – 숨겨진 시트들과 매크로를 허용하도록 유도하는 문구

2019년에 ASEC 블로그를 통해 상세하게 소개했던(*본 블로그 하단에서 링크 확인 가능) Excel 4.0 매크로(수식매크로)를 이용한 방식은 현재까지도 매우 빈번하게 확인되는 케이스이다. 일반적으로 수식매크로를 이용한 악성 엑셀파일은 크게 세 가지의 특징을 가지는데, 이는 다음과 같다.

1) 시트 숨김 조치
2) 숨겨진 시트 내부에는 흰색 글자로 분산은닉 한 매크로 존재
3) 외부URL로부터 추가 악성코드를 다운로드 및 실행

[그림 6] – 분산은닉 되어있는 수식매크로
[그림 7] – 엑셀 내부에서 확인되는 XML 파일 (sharedStrings.xml)

본문에서 소개하는 파일에서도 세 가지 특징이 모두 확인되고 있으며, 이는 내부 XML 파일을 확인해보면 명확하게 알 수 있다. 매크로가 실행되면 URLDownloadToFileA 함수를 이용하여 hxxp://[악성 IP]/[지정숫자].dat 형태의 URL 로부터 추가 실행파일이 다운로드 되며, 이렇게 내려받은 파일은 rundll32.exe 에 DllRegisterSever 파라미터로 로드되어 실행된다.

현재 해당 URL에 접근이 되지 않는 관계로 어떤 악성코드가 추가로 내려받아지는지는 명확히 알 수 없으나, 기존 공격사례들로 미루어보아 랜섬웨어, BokBot, QakBot 등과 같은 실행파일을 내려받을 것으로 추정된다.

사용자들은 출처가 불분명한 메일은 열람하지 말아야 하며, 사용하고 있는 백신 제품을 항상 최신 버전으로 업데이트하여 사용하려는 노력이 필요하다.

현재 V3에서는 위에서 소개한 파일들에 대해 다음과 같이 진단하고 있다.

[파일진단]

Downloader/XLS.XlmMacro
Downloader/XLS.Generic

[IoC]

Hash
e53c6b9d4d5f536a7ac2a2bd3f67e4a5
9533108a07c61ab8e743c68cac25f85e
396971293048dd203c3aa05f55c49e4f

악성 URL
hxxp://190.14.38[.]118/44342.2224001157.dat
hxxp://45.138.157[.]157/44342.2224001157.dat
hxxp://176.31.87[.]211/44342.2224001157.dat
hxxp://188.119.113[.]227/44342.4386916667.dat
hxxp://2.56.244[.]8/44342.4386916667.dat
hxxp://185.141.26[.]131/44342.4386916667.dat

[기존 Excel 4.0 매크로 관련 블로그]

4.3 3 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments