워드문서 이용한 APT 공격 시도 (External 연결 + VBA 매크로)

ASEC 분석팀은 최근 방송사 기자를 대상으로 APT 공격 시도를 위한 악성 워드 문서 파일을 유포 중인 정황을 확인하였다.

메일 제목 및 본문은 아래와 같이 되어있으며, 첨부파일인 압축 파일 내부에는 워드 문서가 포함되어 있다.

  • 파일명 : 사내 금융업무 상세내역.docx
[그림 1] 메일 제목 / 본문

워드문서를 실행하면 아래와 같은 내용이 사용자에게 보여지고, 백그라운드에서는 External URL을 이용하여 워드 매크로(dotm) 파일을 다운로드 받아 실행한다.

  • URL : hxxp://ms-work.com-info.store/dms/0203.dotm
[그림 2] 악성 문서 실행 시 다운로드 시도
[그림 3] 악성 문서 파일 내용
[그림 4] 문서 내 포함된 External URL

다운로드된 “0203.dotm” 이름의 워드 매크로 파일에는 아래와 같은 매크로가 작성되어 있으며, 기존 워드 파일의 사용자 지정 속성에 있는 값들을 이용하여 같은 경로 내 knla.dat 파일을 생성한다. (ActiveDocument.CustomDocumentProperties API 사용)

[그림 5] 워드 매크로 파일 내 매크로 함수
[그림 6] 문서 파일 내 사용자 지정 속성 값

DLL 파일인 knla.dat는 매크로에 의해 함수명 “GetErrorModes”가 실행되며, 아래 URL에서 추가 파일을 다운로드 받아 특정 루틴을 이용하여 디코딩한다. 디코딩이 완료되면 DLL 파일이 되는데, 해당 DLL 파일을 메모리 상에서 실행한다.

  • URL : hxxp://ms-work.com-info.store/home/?id=[호스트명]&act=wbi&ver=[x64|x86]

실행된 DLL 파일은 아래 목록에 해당하는 정보에 대하여 수집 후 TEMP 폴더 내 w.x라는 파일명으로 저장한다.

  • 브라우저 계정 및 쿠키 값 (Chrome / Edge / Firefox)
  • 윈도우 증명서 관련 정보
  • WinSCP 계정 정보
  • ThunderBird 계정 정보
[그림 7] 정보 탈취 내용 중 일부

수집이 완료되면 아래 URL로 수집된 정보를 전송한다.

  • URL : hxxp://ms-work.com-info.store/home/up.php?id=[호스트명]

이처럼 정상 워드 문서 파일로 위장한 악성코드가 지속적으로 유포되고 있으며 문서 내용 자체도 실제 관련된 내용을 담고 있어 사용자가 문서 파일을 실행하여도 악성 파일임을 인지하기 어려워 각별한 주의가 필요하다.

현재 안랩 V3에서는 악성 문서 및 DLL 파일에 대하여 아래와 같은 진단명으로 진단하고 있다.

[파일 진단]
사내 금융업무 상세내역.docx : Downloader/XML.Generic
0203.dotm : Downloader/DOC.Generic
knla.dat : InfoStealer/Win.Agent.C4950322
Download DLL (Fileless) : Trojan/Win.Kimsuky.C4950244

[IOC 정보]
hxxp://ms-work.com-info.store/
929a87be39ed3ad28e7285340f64414f
da9816b60d9866b1b6d90a8e20e39623
b46ba113b1d461041af9f31ca8d5f916
37c7fd52c0102a461aa29b1772ecbe12

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

5 2 votes
별점 주기
guest
1 댓글
Inline Feedbacks
View all comments
trackback

[…] [2月3日] Word文書を使用したAPT攻撃の試み(外部接続+ VBAマクロ) https://asec.ahnlab.com/ko/30980/ [2月14日] 対北朝鮮関連原告要求事項を装ったAPT攻撃試行(Kimsuky) […]