특정 항공사 자소서로 위장한 RTF 악성코드

ASEC 분석팀은 이번달(10월) 초에 특정 항공사 자소서로 위장한 RTF 문서형 악성코드를 확인하였다. 다른 문서형 악성코드(워드, 엑셀 등)에 비해 자주 등장하는 류의 문서형태는 아닌 형태로 특정 문서를 위장한 RTF 악성코드는 오랜만에 발견된 케이스이다.

  • 유포 파일명 : ****항공사 자소서_.rtf

해당 RTF 문서는 MS오피스에 포함된 수식 편집기 프로그램인 EQNEDT32.EXE 관련 취약점(CVE-2017-11882)이 사용 되었으며 본문에는 자소서의 내용이 작성되다만 듯 마지막 문장이 마무리되지 못하고 끝나있다.

[그림1] – 본문 내용 시작
[그림2] – 본문 내용 마지막

이 문서는 10월 1일에 최초 제작되어 10월 4일에 최종 수정된 것으로 확인되며 아래와 같이 취약점이 발생할 경우 특정 네트워크에 접속하여 추가 파일을 다운로드 할 것으로 보인다.

  • hxxps://gozdeelektronik[.]net/wp-content/themes/0111/movie.png
  • hxxps://gozdeelektronik[.]net/wp-content/themes/0111/movie.jpg
[그림3] – 문서 제작 날짜
[그림4] – 접속 네트워크 주소

현재는 해당 주소가 활성화되어있지 않아 추가 받아오는 데이터를 확인하기는 어렵다. 활성화 시에 해당 주소로 부터 추가 데이터(악성코드)를 다운로드 받아 동작할 것으로 보인다.

이때 사용된 악성 네트워크 주소는 과거 2019년에 악성 EPS를 포함한 한글(HWP)악성코드가 사용했던 C2 주소와 동일한 것으로 보아 동일 그룹이 제작한 것으로 보이며 외부 트위터에서는 이번 RTF를 제작한 그룹으로 라자루스(Lazarus)를 언급하고 있다.

사용자들은 출처가 분명하지 않은 문서의 열람을 자제해야하며 사용하는 응용 프로그램 및 V3를 최신 버전으로 업데이트하여 사용해야한다. 해당 악성코드는 V3에서 아래와 같이 탐지 중이다.

[파일 진단]
Exploit/MSOffice.Agent

[IOC]
dd8bb1686f16924ac797620092776022
hxxps://gozdeelektronik[.]net/wp-content/themes/0111/movie.png
hxxps://gozdeelektronik[.]net/wp-content/themes/0111/movie.jpg

[참고 사이트]
https://twitter.com/souiten/status/1446725907637358597

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

0 0 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments