ASEC 분석팀은 최근 대북 관련 악성 한글 문서 파일을 유포 중인 정황을 확인하였다. 동작 방식은 취약점이 아닌 문서 실행 시 노출되는 화면에 사용자 클릭을 유도하는 하이퍼 링크를 삽입하고, 이를 클릭 시 문서 내부에 포함된 실행 파일들이 동작하는 방식이다. 이처럼 문서 내부에 실행 파일들이 존재하는 것은 정상 한글문서에서도 확인되는 특징으로 개체 삽입을 통해 가능한 정상적인 기능이라고 할 수 있다. 감염되면 작업스케줄러를 통해 121분마다 자동 실행되도록 설정되어 있으며, 추가 외부 악성파일을 구글 드라이브(https://drive.google.com)를 통해 다운로드할 수 있는 구조이다. 또한, 동작 과정에서 V3 제품의 탐지화면을 숨기는 특징을 갖고 있다. 실제 악성파일 치료에는 문제가 없으나, 사용자로 하여금 의심 파일로 인지하지 못하도록 한 것으로 각별한 주의가 요구된다. 이처럼 최근들어 대북 관련 악성코드가 증가하고 있고 탐지를 우회하기 위한 시도가 확인되고 있어 주의가 필요하다.
- 파일명: ONN-Construction activities near Chamjin-ri and Kangson-Dec 2021.hwp
해당 한글 파일을 실행하면 아래 그림과 같이 사용자에게 보여지며, 한글 파일에 포함되어 있는 아래 파일들을 %TEMP% 경로에 생성한다.
- ~DF9B1C729B001D998E.tmp
- iphlpapi.dll
- OneDriveStandaloneUpdater.exe
- ONN-Construction activities near Chamjin-ri and Kangson-Dec 2021.tmp

여기서 “여기를 클릭” 버튼을 클릭하게 되면, 하이퍼 링크를 통하여 %TEMP%\OneDriveStandaloneUpdater.exe 파일이 실행된다. 여기서 OneDriveStandaloneUpdater.exe 파일은 단순 OneDrive 업데이트 프로그램으로 정상 프로그램이지만, 해당 프로그램이 실행되면서 로드하는 DLL 파일인 iphlpapi.dll 파일이 악성행위를 일으킨다.
OneDriveStandaloneUpdater.exe에 의하여 iphlpapi.dll 파일이 로드되면 두 개의 스레드가 실행된다.
첫 번째 스레드는 같은 경로의 ~DF9B1C729B001D998E.tmp 파일을 읽어서 특정 파싱 문구(빨간색 부분)를 이용하여 3개로 나눈 후 각각 Base64를 통하여 디코딩하여 %appdata%\Microsoft 경로에 1.bat, 1.tmp, 2.tmp 파일로 저장한다.

그 후, 1.bat 파일을 실행한다.
두 번째 스레드의 경우 V3 Lite 제품의 ClassName을 이용하여 FindWindowA 함수를 통해 창을 찾고, ShowWindow 함수를 사용하여 창을 숨겨버리는 과정을 계속 반복한다.

해당 클래스명으로 인해 숨겨지는 창은 아래와 같은 V3 악성코드 차단 창으로 확인되었으며, 해당 창이 숨겨지더라도 정상적으로 악성코드가 치료된다.

1.bat 파일이 실행되면 OneDriverStandaloneUpdater.exe를 강제로 종료시킨 후 아래와 같이 생성했던 파일들을 이동하고, colegg.vbs 파일에 대하여 작업 스케쥴러 프로그램인 schtasks를 이용하여 121분마다 실행되도록 지정한다.
- %appdata%\Microsoft\1.tmp -> %appdata%\colegg.vbs
- %appdata%\Microsoft\2.tmp -> %appdata%\colegg.ps1
- %temp%\ONN-Co~2021.tmp -> %userprofile%\Downloads\ONN-Co~2021.hwp
그 후, 한글 문서 프로그램을 강제로 종료시킨 뒤 ONN-Co~2021.hwp 파일을 실행시키고, 자기 자신(1.bat) 파일을 제거한다.
이 때, 실행되는 ONN-Co~2021.hwp 파일은 아래와 같이 대북 관련 문서로 확인되며 정상적인 HWP 파일이다.

작업 스케쥴러에 등록되어 지속적으로 실행되는 colegg.vbs 파일은 구글드라이브에 접속하여 특정 파일(추가 vbs 파일)에 대한 다운로드 페이지의 소스를 가지고 온다.

사실 여기서 파일은 다운로드 하지 않으며, 파일명만 가지고 와서 파일명의 “johnbegin–” 와 “–johnend” 사이에 있는 문자열을 특정 디코딩 루틴을 통하여 디코딩한다.

디코딩이 완료되면 아래와 같은 VB Script가 나오게 되며, 이 구문을 Execute 함수를 이용하여 실행한다.

해당 구문이 실행되면, 아래 그림과 같이 특정 구글 독스에 “-[호스트명]hwp[현재날짜/시간]-“ 형태로 기입된다. 현재는 한개 PC만 기록되어 있다.

현재는 구글 독스 문서에 감염된 PC의 호스트명을 단순 기입하는 코드만 들어있지만, 추후 공격자가 파일명을 수정함에 따라 감염된 PC에 대하여 다른 명령을 내릴 수 있다.
이처럼 악성 한글 문서 파일을 포함하여 다양한 기법들을 이용한 대북 관련 악성 문서들이 꾸준히 유포되고 있으며, 이번 문서 파일의 경우 최종적으로 실행되는 한글 문서 파일은 정상 파일로 사용자가 악성 파일임을 인지하기 어려워 각별한 주의가 필요하다.
현재 V3에서는 아래와 같은 진단명으로 진단하고 있다.

[파일 진단]
Dropper/HWP.HyperLink
Trojan/Win.Kimsuky.C4848645
Trojan/PowerShell.Generic
Trojan/BAT.Generic
Trojan/VBS.Generic
[IOC 정보]
3c45e0def2845cc130a9331c774d3935
a7077d9a2c98ec2d0b3b1c12f23b2a79
8ec6e4d3a6142b8bde35899e7fdae42e
41aca1d4282dfb41356ee95e933eedc1
a532a4fe38b76f53885158aa3b75e5dc
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보