ASEC 분석팀은 최근 AgentTesla 악성코드가 새로운 방식으로 유포 중인 정황을 포착하였다. ASEC 블로그에도 여러 번 소개해왔던 AgentTesla 의 기존 유포 방식은 파워포인트(*.ppt) 문서 내 악성 VBA 매크로를 이용하였다면, 새로운 유포 방식은 윈도우 도움말 파일(*.chm) 을 이용하여 powershell 명령어를 실행하는 것으로 확인하였다.

악성 CHM 파일은 운송 회사인 DHL 을 사칭한 피싱 메일에 첨부되어 압축 파일 형태로 유포되고 있다. DHL 외에도 다양한 주제로 피싱 메일을 유포하고 있어 사용자의 주의가 필요하다.

피싱 메일에 첨부된 압축 파일을 압축 해제하면 악성 CHM 파일이 존재하며, 해당 파일을 실행 시 대기 문구가 포함된 정상 도움말 창을 생성하여 사용자가 악성 행위를 알아차리기 어렵도록 한다.

하지만 실제로는 내부 HTML 에 포함된 악성 스크립트에 의해 악성 행위가 수행된다. 악성 스크립트가 포함된 HTML 은 [그림 3] , [그림 4] 와 같이 난독화된 형태이며, [그림 5] 및 [그림 6] 은 난독화가 해제된 코드이다. 난독화가 해제된 코드를 살펴보면 지난 3월부터 소개했던 악성 CHM 파일들과 유사한 방식을 이용한 것을 알 수 있다. 특정 id 속성 영역에 악성 명령어를 포함시킨 후 Click() 함수를 통해 자동으로 해당 명령어가 실행되게 한다.




해당 스크립트에서 실행되는 명령어는 powershell 명령어로, 특정 url 에 접속하여 추가 악성 데이터를 다운로드 받아 실행하는 기능을 수행한다. 확인된 악성 URL 은 아래와 같으며, JPG 확장자를 이용한 것이 특징이다.
- 다운로드 URL
hxxp://pacurariu[.]com/F37.jpg
hxxp://pk-consult[.]hr/N2.jpg
hxxp://exipnikouzina[.]gr/S15.jpg
악성 URL 에서 다운로드되는 데이터는 추가 powershell 명령어이다. 기존에 소개했던 유포 방식은 파워포인트 내 악성 VBA 매크로가 실행되면 mshta 프로세스를 통해 악성 데이터를 다운로드 받아 실행하는 방식이었다. 기존 방식에서도 다운로드 받아지는 데이터는 powershell 명령어였으며 실행되는 악성코드 유형 및 실행 방식이 유사한 것을 확인하였다. 또한, 해당 데이터를 다운로드하는 과정이 파워포인트 내 악성 VBA 매크로를 이용했던 것에서 윈도우 도움말 파일 내 악성 powershell 명령어를 이용하는 것으로 변형된 것을 알 수 있다.
다운로드된 데이터는 기존과 동일한 기능을 수행하며, 악성 닷넷 실행 파일을 로드하게 된다. 바이너리는 총 2개로, 하나는 악성 행위를 수행하는 AgentTesla 악성코드이며 나머지 하나는 해당 악성코드를 정상 프로세스에 인젝션하는 기능을 수행하는 Loader 이다. 해당 바이너리들은 gzip 을 통해 압축 해제되어 실행된다. 해당 스크립트에서 디코딩된 Loader 는 toooyou 클래스의 Black 메소드를 실행하며, 실행 인자로 인젝션 대상인 정상 프로세스명과 압축된 AgentTesla 바이너리를 포함한다.

실행되는 Black 메소드는 아래와 같으며, 압축된 AgentTesla 를 압축 해제 후 RegAsm.exe 프로세스에 인젝션을 수행한다. 위 과정을 통해 정보유출형 악성코드인 AgentTesla 가 FileLess 형태로 동작하게 된다.

AgentTesla 는 주간 통계 TOP3 안에 드는 악성코드로 파워포인트를 이용한 유포 방식에서도 다양한 형태로 정교하게 변형되어 왔다. 또한, 최근 윈도우 도움말 파일(*.chm)을 이용한 악성코드 유형이 증가하고 있어 사용자의 주의가 필요하며, 출처가 불분명한 파일의 경우 실행을 자제하도록 해야 한다.
현재 V3에서는 해당 악성코드들을 다음과 같이 진단하고 있다.
[파일 진단]
Trojan/CHM.Agent (2022.05.16.01)
Trojan/CHM.Agent (2022.05.24.00)
Infostealer/Win.AgentTesla.R420346 (2021.05.12.04)
[IOC]
91dbec3653b27c394719fcf5341fe460
4e5ef8e38b17fdf30961f28d4b5e2e23
5d0fc901682170421ebdd5c1ce047c5e
156cbb249d592230bea8fadead028b6b
hxxp://pacurariu[.]com/F37.jpg
hxxp://pk-consult[.]hr/N2.jpg
hxxp://exipnikouzina[.]gr/S15.jpg
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보