ASEC 분석팀은 이달 초 타겟형 공격으로 추정되는 악성 워드 문서를 소개하였으며, 최근 해당 유형의 악성코드가 새로운 내용으로 유포됨을 확인하였다. 악성코드는 아래와 같이 메일을 통해 유포되었으며, 국내 하계학술대회 관리자를 사칭하고 있다. 메일에는 ‘[** 하계학술대회]_양력.doc’가 첨부되어 있고 해당 파일 작성을 유도한다.
메일에 첨부된 워드 파일은 아래와 같으며 악성 매크로가 존재한다. 문서의 작성자와 수정자 모두 이전에 발견된 ‘사례비지급 의뢰서’와 일치하며 동일한 공격자의 수행으로 추정된다. (https://asec.ahnlab.com/ko/24220/)
해당 파일 역시 이전 ‘사례비지급 의뢰서’와 동일하게 단순히 파일을 오픈하는 것만으로는 악성 행위가 발현되지 않는다. 사용자가 문서에 텍스트를 입력할 시에 악성 매크로가 실행된다. 매크로 실행 시 아래 URL에서 데이터를 받아와 %APPDATA%\desktop.ini 파일로 저장한다.
- 다운로드 URL : hxxp://daewon3765.cafe24.com/about/down/download.php?filename=[사용자명]
이후 아래와 같이 ExcelApp.ExecuteExcel4Macro(cmd) 함수를 통해 엑셀에서 아래 명령어로 desktop.ini 파일을 실행한다. 현재 추가 데이터를 받아오는 주소로 접근이 불가하여 이후 행위는 확인되지 않는다.
- call(“kernel32”, “WinExec”, “JFJ”, “wscript //e:vbscript //b “”C:\\Users\\[user명]\\AppData\\Roaming\\desktop.ini”””, 5)
추가로 해당 악성코드를 유포한 메일의 발신자 아이디(kaisjovrnal)를 확인한 결과 아래와 같이 악성 스크립트가 존재하는 블로그를 발견하였다.
- 블로그 주소 : hxxps://kaisjovrnal.blogspot.com
악성 스크립트는 Base64로 인코딩되어 있으며, 이전 ‘사례비지급 의뢰서’의 공격자 웹 페이지(hxxps://smyun0272[.]blogspot[.]com/2021/06/dootakim[.]html) 에 존재하던 스크립트와 동일한 기능을 수행한다.
스크립트 실행 시 HKCU\Software\Microsoft\Office[Version].0\Word\Security\VBAWarnings의 value를 1로 수정하여 매크로가 자동으로 실행될 수 있도록 한다. 또한, 사용자 PC에서 특정 정보를 수집한 후 C2로 전송한다. 29일 확인한 스크립트에서는 deawon3765.cafe24[.]com을 사용하였으나 현재 다음과 같이 C2가 변경되었다.
- 변경 전 C2 : hxxp://daewon3765.cafe24.com/about/post/info.php
- 변경 후 C2 : hxxp://taesan109.myartsonline.com/about/post/info.php
| Running 상태의 서비스 프로세스 목록 최근 실행 파일 목록 사용자명 운영체제 정보 Office 버전 정보 .NET 버전정보 바탕화면 파일 목록 작업표시줄에 고정된 목록 |
현재 V3에서는 위에서 소개한 파일들에 대해 다음과 같이 진단하고 있다.
[파일진단]
Trojan/DOC.Agent
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보