제품소개서로 위장한 악성 워드 문서

ASEC 분석팀은 작년 12월에 게시한 <디자인수정 요청 문서로 위장한 정보 탈취 목적의 악성 워드>와 동일한 유형의 워드 문서를 확인하였다. 이번에 확인된 워드 문서의 제목은 ‘제품소개서.doc’이며 내부에 특정 제품들에 대한 설명을 포함하고 있는 것으로 보아 물류, 쇼핑 관련 업체를 타겟한 공격으로 추정된다.

확인된 워드 문서 내부에는 이전과 동일한 이미지가 포함되어 있어 매크로 실행을 유도한다.

그림1. 제품소개서.doc 파일 내부

해당 워드 문서는 ‘디자인수정 요청.doc’ 파일과 만든 날짜, 만든 이와 마지막으로 수정한 사람 정보가 모두 동일하다. 이를 통해 공격자가 동일한 파일을 수정하여 사용하고 있는 것으로 추정된다.

그림 2. 문서 속성 (좌 : 디자인 수정요청.doc / 우 : 제품소개서.doc)

문서 내부에는 악성 VBA 매크로가 포함되어 있다. 매크로 실행 시 Document_Open() 함수를 통해 악성 매크로가 자동으로 실행된다. 매크로 코드의 경우 이전보다 조금 난독화된 형태로 존재하며, hxxp://manage-box.com/ord03 또는 /doc03 에서 추가 파일을 다운로드 한다.

그림 3. 워드 문서에 포함된 VBA 매크로 코드 일부

VBA 매크로를 통해 다운로드 되는 파일은 다음과 같다. 다운로드 된 setup.cab 파일 내부에는 download.vbs, error.bat, no4.bat, start.vbs, upload.vbs 총 5가지의 스크립트가 존재한다.

다운로드 URL저장 경로 및 파일명
hxxp://manage-box[.]com/ord03/no03.txtC:\Users\Public\Documents\no1.bat
hxxp://manage-box[.]com/ord03/vbs03.txtC:\Users\Public\Documents\setup.cab
hxxp://manage-box[.]com/doc03/temp1403.docC:\Users\Public\Documents\temp.doc
표1. 다운로드 URL 및 저장 경로

이후 다운로드 한 temp.doc 파일을 실행한다. 해당 워드 문서는 특정 기업을 사칭하여 특정 물품에 관한 내용을 포함하고 있다.

그림4. temp.doc 파일 내부

해당 temp.doc 문서 역시 이전 디자인수정 요청.doc 파일과 만든 날짜 및 만든 이, 마지막으로 수정한 사람 정보가 모두 동일하다.

그림 5. 문서 속성
(좌 : 디자인 수정요청.doc 에서 다운로드 한 temp.doc
우 : 제품소개서.doc 에서 다운로드 한 temp.doc)

temp.doc 문서에도 VBA 매크로가 포함되어 있으며, 앞서 다운로드한 no1.bat 을 실행한다.

Private Declare PtrSafe Function WinExec Lib "kernel32" ( _
    ByVal lpCmdLine As String, _
    ByVal nCmdShow As Long _
) As Long

Sub Document_Open()
   WinExec "C:\Users\Public\Documents\no1.bat", 0
End Sub

현재 no1.bat 파일은 확인되지 않으나, 각 스크립트의 기능이 모두 이전에 소개된 내용과 동일한 것으로 보아 기존과 유사하게 error.bat 파일을 실행시킬 것으로 추정된다. 각 스크립트 파일의 주요 행위는 다음과 같다.

파일명주요 행위
error.batstart.vbs 파일 레지스트리 등록
no4.bat 파일 실행
추가 파일 다운로드
start.vbsError.bat 실행
no4.bat정보 수집 및 전송
download.vbs다운로드 기능 수행
upload.vbs업로드 기능 수행
표2. 스크립트명 & 주요 행위

error.bat 파일 실행 시 아래의 명령어가 수행되어 start.vbs 파일이 지속적으로 실행될 수 있도록 한다.

  • “HKCU\Software\Microsoft\Windows\CurrentVersion\Run” /v svchostno2 /t REG_SZ /d “C:\Users\Public\Documents\start.vbs”

이후 no4.bat 파일을 실행하고 특정 파일의 유무를 확인한 후 hxxp://safemaners.com/dow11/%COMPUTERNAME%.txt 에서 추가 파일을 다운로드 한다. no4.bat 파일은 아래의 사용자 PC의 정보를 수집하여 hxxp://safemaners[.]com/upl11/upload.php 로 전송하는 기능을 수행한다.

수집 항목저장 파일명
C:\Users\%username%\downloads\ 목록%~dp0\cuserdown.txt
C:\Users\%username%\documents\ 목록%~dp0\cuserdocu.txt
C:\Users\%username%\desktop\ 목록%~dp0\cuserdesk.txt
C:\Program Files\ 목록%~dp0\cprog.txt
ip정보%~dp0\ipinfo.txt
tasklist%~dp0\tsklt.txt
systeminfo%~dp0\systeminfo.txt
표3. 수집 항목 및 저장 파일명

현재 워드 문서와 스크립트 파일에서 확인된 악성 URL 주소인 manage-box[.]com와 safemaners[.]com 에 접속할 시 mail.naver.com으로 리다이렉션 된다. 이는 공격자가 사용자에게  정상적인 사이트처럼 보이도록 하기 위한 것으로 추정된다.

이처럼 국내 사용자를 대상으로 한 워드 문서 중 대북 관련 내용이 아닌 물류, 쇼핑 관련 내용을 담고 있는 악성 워드 문서가 확인되고 있어 사용자의 주의가 요구된다. 알 수 없는 사용자로부터 수신한 메일의 첨부 파일은 실행을 자제하고, 관련 내용이 담겨 있을지라도 발신자를 반드시 확인해야한다.

[V3 진단]

  • Downloader/DOC.Generic
  • Trojan/DOC.Agent
  • Trojan/VBS.Runner
  • Trojan/BAT.Agent
  • Downloader/BAT.Generic

[관련 IOC 정보]

  • 10610cfe6cbf5a7dd5198a87e3186294
  • 7bc342318717ac411898324baf549b76
  • dc5ecb12dae64202922437edbe5a4842
  • hxxp://manage-box.com/ord03/no03.txt
  • hxxp://manage-box.com/ord03/vbs03.txt
  • hxxp://manage-box.com/doc03/temp1403.doc
  • hxxp://safemaners[.]com/upl11/upload.php

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

5 1 vote
별점 주기
guest
2 댓글
Inline Feedbacks
View all comments
trackback

[…] 사용된 미끼 문서는 총 3건이 확인되었으며 매크로 제작자 및 동작방식은 지난 3월 14일에 ASEC 블로그에 게시한 내용과 […]

trackback

[…] 문서의 작성 일시는 3월 28일이며 제작자는 기존 ASEC 블로그를 통해 공개한 제작자 이름(Acer)과 […]