발주서, 품의서를 위장한 AppleSeed 유포

ASEC 분석팀은 최근들어 발주서, 품의서를 위장하여 AppleSeed 악성코드를 유포하는 정황을 포착하였다. AppleSeed는 Kimsuky 조직에서 주로 사용되는 백도어성 악성코드로 시스템에 상주하면서 공격자의 명령을 받아 악성행위를 수행한다.

최근에는 아래와 같은 파일명으로 악성코드 유포가 이루어지고 있다.

  • 발주서-**-2022****-001-국세청5개지방세무서차단센서 추가 도입_***.jse
  • 품의서(***과장님).jse

JSE(JScript Encoded File) 파일은 자바 스크립트로 되어있으며, 실행하면 아래와 같이 AppleSeed 백도어 본체(DLL 파일)와 미끼 문서 파일인 발주서 PDF 파일이 %ProgramData% 경로에 드롭되며, [그림 2]와 같이 발주서 PDF 파일이 자동으로 실행된다.

[그림 1] 악성코드 및 미끼 PDF 파일 드롭
[그림 2] PDF 문서 파일 본문

그 후, regsvr32.exe를 이용하여 AppleSeed 백도어 본체 파일을 디코딩 후 실행(보라색 음영 부분)하고, mshta.exe를 이용하여 추가 스크립트를 다운로드 받아 실행(빨간색 음영 부분)한다.

[그림 3] AppleSeed 실행 및 추가 스크립트 다운로드

추가 스크립트가 실행되면 아래와 같은 정보들을 탈취하여 C2에 전송한다.

  • 컴퓨터 관련 기본적인 정보(컴퓨터 이름, OS 버전, 프로세서, 메모리)
  • 사용자 계정 정보
  • 네트워크 정보 (IP주소, 라우팅 테이블, 포트 사용 정보, ARP 리스트)
  • 현재 실행 중인 프로세스 및 서비스
  • ProgramFiles 내 폴더 및 파일 / 시작 메뉴 내 프로그램 / 최근 사용한 파일 목록
[그림 4] 추가 스크립트를 이용하여 탈취되는 정보

AppleSeed 백도어 본체의 경우 지속적으로 C2 서버로부터 명령을 받아서 추가 모듈을 다운로드 받아 실행하거나 공격자가 원하는 행위를 일으킨다. AppleSeed 백도어 본체에 대한 자세한 분석 정보는 여기를 참고하면 된다.

스크립트 실행 후 전체적인 프로세스 트리는 아래와 같다.

[그림 5] 프로세스 트리

이처럼 일반 사용자들은 미끼 문서 파일이 함께 실행되어 자신이 악성코드에 감염되었다는 사실을 인지하지 못하는 경우가 많다. 보통 이런 파일들은 특정 회사들을 겨냥하여 공격이 이루어지기 때문에 출처가 불분명한 메일의 첨부 파일을 실행하지 않도록 주의가 필요하다.

현재 안랩 V3 제품은 해당 파일에 대해 다음과 같이 진단하고 있다.

[그림 6] V3 진단 결과

[파일 진단]
Dropper/JS.Generic
Backdoor/Win.AppleSeed.R499775

[IOC 정보]
7d445b39a090b486aaa002b282b4d8cb
67e7e8600a57e9430a43bf8c5f98c6bd
ec9dcef04c5c89d6107d23b0668cc1c1
1ae2e46aac55e7f92c72b56b387bc945
hxxp://dirwear.000webhostapp[.]com (정보 탈취 C2)
hxxp://gerter.getenjoyment[.]net (AppleSeed 백도어 본체 C2)

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

0 0 votes
별점 주기
guest

0 댓글
Inline Feedbacks
View all comments