기업 사용자 타겟의 악성 워드문서 유포 중

ASEC 분석팀은 기업 사용자를 타켓 한 것으로 추정되는 워드 문서를 확인하였다. 확인된 워드 문서는 다른 악성 문서와 마찬가지로 매크로 실행 유도하는 이미지가 존재한다. 또한, 정상 문서처럼 보이도록 하기 위해 매크로 실행 시 Google 계정 보안 강화와 관련된 내용이 노출되고 최종적으로 추가 악성코드 다운로드 및 사용자 정보 유출 행위를 수행한다.

확인된 악성 워드 문서 실행 시 경고창 이미지가 보여지며 ‘공공서식 한글에서 작성된 서식파일’이라고 언급하며 문서 내부에 존재하는 VBA 매크로 실행을 유도한다. 또한, 우측에 존재하는 메모를 통해 Microsoft 작성한 것처럼 보이도록 하였으며 문서 속성에서 보여지는 작성자명 역시 Microsoft로 확인된다.

그림1. 워드 문서
그림2. 문서 속성

콘텐츠 사용 버튼 클릭 시 다음과 같이 Google 계정 보안 강화 내용이 노출된다.

그림3. 매크로 허용 시 노출되는 내용

문서에 포함된 매크로 코드 확인을 어렵게 하기 위해 VBA Project에는 다음과 같이 암호가 설정되어 있다.

그림4. 암호가 설정된 VBA Porject

확인된 매크로 코드는 AutoOpen 함수를 통해 자동으로 실행되며, RunFE() 함수를 통해 악성 행위를 수행한다.

Sub AutoOpen()
    Call CTD
    Dim rfRes As Long
    rfRes = RunFE()
    
    If rfRes = 1 Then
        Call HideInlineShapes
        Call ShowShapes
        Call CommnetDelete
    End If
    
'       Call ShowInlineShapes
'       Call HideShapes
End Sub

RunFE() 함수에는 다음과 같이 다운로드 주소가 Base64 및 특정 Hex 값으로 인코딩 된 형태로 존재한다.

그림5. 매크로 코드 일부

매크로 코드에는 2개의 다운로드 URL이 존재한다. 이는 사용자 PC환경에 맞는 악성코드를 다운로드하기 위한 것으로 보인다. 인코딩된 URL을 디코딩한 결과는 다음과 같다.

  • x86환경 – hxxp://4w9H8PS9.naveicoipc[.]tech/ACMS/7qsRn3sZ/7qsRn3sZ32.acm
  • x64 환경 – hxxp://4w9H8PS9.naveicoipc[.]tech/ACMS/7qsRn3sZ/7qsRn3sZ64.acm

연결에 실패할 경우 인터넷 연결 후 문서를 오픈하라는 메시지 박스가 생성된다.

그림6. 생성된 메시지 박스

다운로드 URL에 접속이 가능할 경우 해당 주소에 존재하는 인코딩된 PE 데이터가 받아진다. 다운로드된 PE 데이터는 디코딩 후 워드 프로세스에 인젝션 되어 실행된다.

인젝션 된 코드 내부에는 다음과 같이 실행중인 프로세스 중 자사 제품의 프로세스가 존재하는 지 확인하는 코드가 존재한다.

그림7. 자사 제품 프로세스 확인 코드

프로세스 명이 v3l4sp.exe (V3Lite)인 프로세스가 존재할 경우 추가 악성 행위는 수행하지 않고 종료된다. 이를 통해 V3Lite를 사용하는 개인 고객의 경우 추가 악성 행위는 수행하지 않고 종료되며 기업 사용자의 경우 악성 행위가 발현된다.

프로세스 확인 후 %ProgramData%\Intel 폴더에 IntelRST.exe를 드롭하고 아래 레지스트리를 통해 IntelRST.exe가 지속적으로 실행될 수 있도록 한다.

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\IntelCUI
    Data: “C:\ProgramData\Intel\IntelRST.exe”

또한 winver.exe 및 ComputerDefaults.exe를 이용한 UAC Bypass를 통해 상승된 권한으로 IntelRST.exe를 실행한다. 실행된 IntelRST.exe는 다음 명령어를 통해 Windows Defender에서 제외 파일로 등록한다.

  • cmd.exe /c powershell -Command Add-MpPreference -ExclusionPath “C:\ProgramData\Intel\IntelRST.exe”

실행되는 프로세스 트리는 다음과 같다.

그림8. 프로세스 트리

이후 hxxp://naveicoipc[.]tech/post.php 로 사용자 PC 정보 전송하고 hxxp://naveicoipc[.]tech/7qsRn3sZ/7qsRn3sZ_[사용자명]_/fecommand.acm 에 접속을 시도한다. 현재 해당 URL은 접속이 불가하여 이후 행위는 알 수 없다.

추가로 동일한 매크로 유형을 포함하는 워드 문서(파일명 : 사건조정의견서_BA6Q318N.doc)가 확인되었으나 해당 파일의 경우 암호가 설정 되어있어 내용 확인이 불가하다. 워드 문서에 포함된 VBA 매크로를 통해 확인되는 다운로드 URL은 다음과 같다.

  • x86 – hxxp://MOmls4ii.naveicoipa[.]tech/ACMS/BA6Q318N/BA6Q318N32.acm
  • x64 – hxxp://MOmls4ii.naveicoipa[.]tech/ACMS/BA6Q318N/BA6Q318N64.acm
그림9. 추가 확인된 악성 워드 문서1

이처럼 해당 유형의 악성 매크로를 포함하여 유포되는 문서 중 암호가 설정되어 있는 경우도 존재한다. 아래는 추가로 확인된 또 다른 내용의 워드 문서(파일명 : Binance_Guide (1).doc)이다.

  • x86 환경 – hxxp://uzzmuqwv.naveicoipc[.]tech/ACMS/1uFnvppj/1uFnvppj32.acm
  • x64 환경 – hxxp://uzzmuqwv.naveicoipc[.]tech/ACMS/1uFnvppj/1uFnvppj64.acm
그림10. 추가 확인된 악성 워드 문서2

최근 국내 사용자를 대상으로 하는 악성 워드 문서가 지속적으로 확인됨에 따라 사용자의 각별한 주의가 필요하다. 적절한 보안 설정을 통해 악성 매크로가 자동으로 실행되지 않도록 설정하고 출처를 알 수 없는 파일의 실행을 자제해야 한다.

[파일 진단]
Downloader/DOC.Generic
Trojan/Win.Generic.C5025270

[IOC]
c156572dd81c3b0072f62484e90e47a0
c9e8b9540671052cb4c8f7154f04855f
809fff6e5b2aa66aa84582dfc55e7420
37505b6ff02a679e70885ccd60c13f3b
hxxp://4w9H8PS9.naveicoipc[.]tech/ACMS/7qsRn3sZ/7qsRn3sZ64.acm
hxxp://4w9H8PS9.naveicoipc[.]tech/ACMS/7qsRn3sZ/7qsRn3sZ32.acm
hxxp://naveicoipc[.]tech/post.php
hxxp://MOmls4ii.naveicoipa[.]tech/ACMS/BA6Q318N/BA6Q318N32.acm
hxxp://MOmls4ii.naveicoipa[.]tech/ACMS/BA6Q318N/BA6Q318N64.acm
hxxp://uzzmuqwv.naveicoipc[.]tech/ACMS/1uFnvppj/1uFnvppj32.acm
hxxp://uzzmuqwv.naveicoipc[.]tech/ACMS/1uFnvppj/1uFnvppj64.acm

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:,

5 1 vote
별점 주기
guest
1 댓글
Inline Feedbacks
View all comments
trackback

[…] 분석팀은 지난주 “기업 사용자 타겟의 악성 워드 문서 유포 중“에서 작성한 유형의 악성 워드 문서가 안랩을 사칭하는 문구를 […]