코로나 확진 안내문으로 사칭한 악성 도움말 파일 국내 유포

ASEC 분석팀은 2주 전, 윈도우 도움말 파일(*.chm) 형식의 악성코드에 대해 소개하였다. 금일 추가로 확인된 악성 chm 파일은 코로나 확진 안내문을 사칭한 형태로 국내 사용자를 대상으로 유포되고 있다. 코로나 확진자가 다수 발생하는 시기를 노려 관련 내용을 포함하여 유포되고 있는 것으로 보인다.

윈도우 도움말 파일(*.chm)로 유포되는 APT 공격 – ASEC BLOG

ASEC 분석팀은 최근 윈도우 도움말 파일(*.chm) 형식의 악성코드가 국내 사용자를 대상으로 유포되고 있음을 확인하였다. chm 파일은 컴파일 된 HTML Help 파일로 microsoft® html help executable 프로그램을 통해 실행된다. 최근 확인된 chm 파일은 실행 시 추가 악성 파일을 다운로드하며 이 과정에서 정상적인 내용을 담은 창이 실행되어 사용자가 악성 파일 임을 인지하기 어려운 특징이 존재한다. 악성 코드는 아래와 같이 압축 파일 형태로 메일에 첨부되어 유포된다. 첨부된 압축 파일 내부에는 워드 문…

현재 유포되고 있는 파일명은 아래와 같으며, 악성 chm 파일을 실행 시 추가 악성 파일을 실행한다. 이때 사용자 PC 화면에는 코로나 확진 안내문 창이 생성되어 악성 파일이 실행된 것을 인지하기 어렵도록 한다.

• 유포 파일명
  확진자 및 동거인 안내문 (50).chm

또한, 안내문에 포함된 단축 url 은 아래와 같이 정상 사이트로 리다이렉트되어 사용자는 악성 행위를 더욱 알아차리기 힘들다.

악성 chm 파일에 포함된 html 파일의 코드를 확인해보면 아래와 같은 스크립트가 존재한다. 해당 스크립트는 특정 id 속성 영역에 스크립트를 삽입 후 Click() 함수를 통해 악성 명령어를 실행하는 기능을 수행한다. 악성 명령어가 실행되면 hh.exe 프로세스를 통해 chm 파일을 디컴파일하여 “c:\\programdata\\chmtemp” 폴더에 생성한다. hh.exe 프로세스는 HTML 도움말 실행 프로그램으로 컴파일된 도움말(*.chm) 파일을 실행하거나 도움말 파일에 대한 탐색 및 기타 기능을 제공한다. 이후 디컴파일된 파일 중 chmext.exe 파일을 실행하게 된다.

chmext.exe 파일은 아래 게시물을 통해 소개한 내용 중 워드 프로세스에 인젝션되는 데이터와 동일한 유형이다. 해당 파일을 유포한 공격자와 동일한 공격자로 추정되며, chmext.exe 파일을 실행 시 동일하게 “%ProgramData%\Intel” 폴더에 IntelRST.exe 를 드롭한다.

기업 사용자 타겟의 악성 워드문서 유포 중 – ASEC BLOG

ASEC 분석팀은 기업 사용자를 타켓 한 것으로 추정되는 워드 문서를 확인하였다. 확인된 워드 문서는 다른 악성 문서와 마찬가지로 매크로 실행 유도하는 이미지가 존재한다. 또한, 정상 문서처럼 보이도록 하기 위해 매크로 실행 시 Google 계정 보안 강화와 관련된 내용이 노출되고 최종적으로 추가 악성코드 다운로드 및 사용자 정보 유출 행위를 수행한다. 확인된 악성 워드 문서 실행 시 경고창 이미지가 보여지며 ‘공공서식 한글에서 작성된 서식파일’이라고 언급하며 문서 내부에 존재하는 VBA 매크로 실행을 유도한다. 또한, 우측에 존재…

드롭되어 실행되는 IntelRST.exe 파일도 동일한 유형으로, 프로세스 검사, RUN 키 등록, UAC Bypass, 윈도우 디펜더 예외 설정 기능이 모두 동일하다. 이후 hxxps://dl.dropboxusercontent[.]com/s/k288s9tu2o53v41/zs_url.txt?dl=0 에 접속을 시도하며 현재는 접속이 불가하다. 해당 url 에서 추가 url 을 받아와 이후 악성 행위를 수행하는 것으로 추정된다.

최근 국내 사용자를 대상으로 하는 악성 윈도우 도움말 파일(*.chm) 파일이 다수 확인되고 있어 사용자의 각별한 주의가 필요하다. 또한 출처가 불분명한 파일의 경우 실행을 자제하도록 해야 한다.

현재 V3에서는 해당 악성코드들을 다음과 같이 진단하고 있다.

[파일 진단]
Dropper/CHM.Akdoor (2022.03.31.02)
Trojan/Win.Generic.C5025270 (2022.03.23.02)
Dropper/Win.Agent.C5028107 (2022.03.25.03)

AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.