윈도우 도움말 파일(*.chm)을 통해 유포 중인 AgentTesla

ASEC 분석팀은 최근 AgentTesla 악성코드가 새로운 방식으로 유포 중인 정황을 포착하였다. ASEC 블로그에도 여러 번 소개해왔던 AgentTesla 의 기존 유포 방식은 파워포인트(*.ppt) 문서 내 악성 VBA 매크로를 이용하였다면, 새로운 유포 방식은 윈도우 도움말 파일(*.chm) 을 이용하여 powershell 명령어를 실행하는 것으로 확인하였다.

악성 CHM 파일은 운송 회사인 DHL 을 사칭한 피싱 메일에 첨부되어 압축 파일 형태로 유포되고 있다. DHL 외에도 다양한 주제로 피싱 메일을 유포하고 있어 사용자의 주의가 필요하다.

[그림 1] DHL 피싱 메일

피싱 메일에 첨부된 압축 파일을 압축 해제하면 악성 CHM 파일이 존재하며, 해당 파일을 실행 시 대기 문구가 포함된 정상 도움말 창을 생성하여 사용자가 악성 행위를 알아차리기 어렵도록 한다.

[그림 2] 정상 도움말 창

하지만 실제로는 내부 HTML 에 포함된 악성 스크립트에 의해 악성 행위가 수행된다. 악성 스크립트가 포함된 HTML 은 [그림 3] , [그림 4] 와 같이 난독화된 형태이며, [그림 5] 및 [그림 6] 은 난독화가 해제된 코드이다. 난독화가 해제된 코드를 살펴보면 지난 3월부터 소개했던 악성 CHM 파일들과 유사한 방식을 이용한 것을 알 수 있다. 특정 id 속성 영역에 악성 명령어를 포함시킨 후 Click() 함수를 통해 자동으로 해당 명령어가 실행되게 한다.

[그림 3] 난독화된 HTML 유형 1
[그림 4] 난독화된 HTML 유형 2
[그림 5] 난독화 해제된 HTML 유형 1
[그림 6] 난독화 해제된 HTML 유형 2

해당 스크립트에서 실행되는 명령어는 powershell 명령어로, 특정 url 에 접속하여 추가 악성 데이터를 다운로드 받아 실행하는 기능을 수행한다. 확인된 악성 URL 은 아래와 같으며, JPG 확장자를 이용한 것이 특징이다.

  • 다운로드 URL
    hxxp://pacurariu[.]com/F37.jpg
    hxxp://pk-consult[.]hr/N2.jpg
    hxxp://exipnikouzina[.]gr/S15.jpg

악성 URL 에서 다운로드되는 데이터는 추가 powershell 명령어이다. 기존에 소개했던 유포 방식은 파워포인트 내 악성 VBA 매크로가 실행되면 mshta 프로세스를 통해 악성 데이터를 다운로드 받아 실행하는 방식이었다. 기존 방식에서도 다운로드 받아지는 데이터는 powershell 명령어였으며 실행되는 악성코드 유형 및 실행 방식이 유사한 것을 확인하였다. 또한, 해당 데이터를 다운로드하는 과정이 파워포인트 내 악성 VBA 매크로를 이용했던 것에서 윈도우 도움말 파일 내 악성 powershell 명령어를 이용하는 것으로 변형된 것을 알 수 있다.

다운로드된 데이터는 기존과 동일한 기능을 수행하며, 악성 닷넷 실행 파일을 로드하게 된다. 바이너리는 총 2개로, 하나는 악성 행위를 수행하는 AgentTesla 악성코드이며 나머지 하나는 해당 악성코드를 정상 프로세스에 인젝션하는 기능을 수행하는 Loader 이다. 해당 바이너리들은 gzip 을 통해 압축 해제되어 실행된다. 해당 스크립트에서 디코딩된 Loader 는 toooyou 클래스의 Black 메소드를 실행하며, 실행 인자로 인젝션 대상인 정상 프로세스명과 압축된 AgentTesla 바이너리를 포함한다.

[그림 7] 다운로드된 악성 powershell 명령어

실행되는 Black 메소드는 아래와 같으며, 압축된 AgentTesla 를 압축 해제 후 RegAsm.exe 프로세스에 인젝션을 수행한다. 위 과정을 통해 정보유출형 악성코드인 AgentTesla 가 FileLess 형태로 동작하게 된다.

[그림 8] Loader 내부 코드

AgentTesla 는 주간 통계 TOP3 안에 드는 악성코드로 파워포인트를 이용한 유포 방식에서도 다양한 형태로 정교하게 변형되어 왔다. 또한, 최근 윈도우 도움말 파일(*.chm)을 이용한 악성코드 유형이 증가하고 있어 사용자의 주의가 필요하며, 출처가 불분명한 파일의 경우 실행을 자제하도록 해야 한다.

현재 V3에서는 해당 악성코드들을 다음과 같이 진단하고 있다.

[파일 진단]
Trojan/CHM.Agent (2022.05.16.01)
Trojan/CHM.Agent (2022.05.24.00)
Infostealer/Win.AgentTesla.R420346 (2021.05.12.04)

[IOC]
91dbec3653b27c394719fcf5341fe460
4e5ef8e38b17fdf30961f28d4b5e2e23
5d0fc901682170421ebdd5c1ce047c5e
156cbb249d592230bea8fadead028b6b
hxxp://pacurariu[.]com/F37.jpg
hxxp://pk-consult[.]hr/N2.jpg
hxxp://exipnikouzina[.]gr/S15.jpg

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

5 1 vote
별점 주기
Subscribe
Notify of
guest

0 댓글
Inline Feedbacks
View all comments