하계학술대회 약력 서식파일로 위장한 워드 악성코드 유포 중

ASEC 분석팀은 이달 초 타겟형 공격으로 추정되는 악성 워드 문서를 소개하였으며, 최근 해당 유형의 악성코드가 새로운 내용으로 유포됨을 확인하였다. 악성코드는 아래와 같이 메일을 통해 유포되었으며, 국내 하계학술대회 관리자를 사칭하고 있다. 메일에는 ‘[** 하계학술대회]_양력.doc’가 첨부되어 있고 해당 파일 작성을 유도한다.

유포 메일 내용

메일에 첨부된 워드 파일은 아래와 같으며 악성 매크로가 존재한다. 문서의 작성자와 수정자 모두 이전에 발견된 ‘사례비지급 의뢰서’와 일치하며 동일한 공격자의 수행으로 추정된다. (https://asec.ahnlab.com/ko/24220/)

문서 속성
악성 워드 파일

해당 파일 역시 이전 ‘사례비지급 의뢰서’와 동일하게 단순히 파일을 오픈하는 것만으로는 악성 행위가 발현되지 않는다. 사용자가 문서에 텍스트를 입력할 시에 악성 매크로가 실행된다. 매크로 실행 시 아래 URL에서 데이터를 받아와 %APPDATA%\desktop.ini 파일로 저장한다.

  • 다운로드 URL : hxxp://daewon3765.cafe24.com/about/down/download.php?filename=[사용자명]

이후 아래와 같이 ExcelApp.ExecuteExcel4Macro(cmd) 함수를 통해 엑셀에서 아래 명령어로 desktop.ini 파일을 실행한다. 현재 추가 데이터를 받아오는 주소로 접근이 불가하여 이후 행위는 확인되지 않는다.

  • call(“kernel32”, “WinExec”, “JFJ”, “wscript //e:vbscript //b “”C:\\Users\\[user명]\\AppData\\Roaming\\desktop.ini”””, 5)
프로세스 트리

추가로 해당 악성코드를 유포한 메일의 발신자 아이디(kaisjovrnal)를 확인한 결과 아래와 같이 악성 스크립트가 존재하는 블로그를 발견하였다.

  • 블로그 주소 : hxxps://kaisjovrnal.blogspot.com
동일한 공격자가 생성한 것으로 추정되는 페이지

악성 스크립트는 Base64로 인코딩되어 있으며, 이전 ‘사례비지급 의뢰서’의 공격자 웹 페이지(hxxps://smyun0272[.]blogspot[.]com/2021/06/dootakim[.]html) 에 존재하던 스크립트와 동일한 기능을 수행한다.
스크립트 실행 시 HKCU\Software\Microsoft\Office[Version].0\Word\Security\VBAWarnings의 value를 1로 수정하여 매크로가 자동으로 실행될 수 있도록 한다. 또한, 사용자 PC에서 특정 정보를 수집한 후 C2로 전송한다. 29일 확인한 스크립트에서는 deawon3765.cafe24[.]com을 사용하였으나 현재 다음과 같이 C2가 변경되었다.

  • 변경 전 C2 : hxxp://daewon3765.cafe24.com/about/post/info.php
  • 변경 후 C2 : hxxp://taesan109.myartsonline.com/about/post/info.php
Running 상태의 서비스 프로세스 목록
최근 실행 파일 목록
사용자명
운영체제 정보
Office 버전 정보
.NET 버전정보
바탕화면 파일 목록
작업표시줄에 고정된 목록
수집 정보 목록

현재 V3에서는 위에서 소개한 파일들에 대해 다음과 같이 진단하고 있다.

[파일진단]
Trojan/DOC.Agent

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

5 1 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments