악성코드

ISO 파일을 통해 IcedID 유포 중

  • 7월 20 2022
ISO 파일을 통해 IcedID 유포 중

ASEC 분석팀은 ISO 파일을 통해 다양한 악성코드가 유포되고 있는 사례를 소개해왔다. 최근에는 ISO 파일을 통해 모듈형 뱅킹 악성코드인 IcedID 가 유포 중인 것을 확인하였다. 확인된 유형은 2가지로, 하나는 이전에 소개했던 Bumblebee 악성코드와 동일한 방식을 이용하였다. 나머지 유형 또한 비슷한 방식을 사용했지만, 스크립트 파일과 cmd 명령어가 추가된 형태이다.

이메일 하이재킹을 통해 Bumblebee 악성코드 국내 유포 중 – ASEC BLOG

ASEC 분석팀은 최근 다운로더 유형의 악성코드인 Bumblebee 가 다수 유포되고 있는 정황을 포착하였다. Bumblebee 다운로더는 피싱 메일을 통해 ISO 파일로 유포되고 있으며, ISO 파일은 바로가기 파일과 악성 dll 파일을 포함하고 있다. 추가로, 이메일 하이재킹을 통해 국내 사용자를 대상으로 유포되는 사례도 확인되었다. 아래는 Bumblebee 다운로더를 유포하는 피싱 메일이다. 해당 메일은 정상 메일을 가로채 악성 파일을 첨부하여 사용자에게 회신한 형태이다. 해당 메일을 수신한 사용자의 경우, 정상적인 회신으로…

먼저, 첫번째 유형은 IcedID 가 실행되는 과정 및 유포되는 과정이 이전에 소개한 Bumblebee 악성코드와 모두 동일하다. 정상 메일을 가로채는 이메일 하이재킹을 이용하였으며, 아래와 같이 악성 파일을 첨부 후 사용자에게 회신하였다. 악성 파일은 압축 파일로 첨부되어 있으며, 압축 파일은 본문에 포함된 패스워드로 암호화되어 있다.

압축 파일 내부에는 ISO 파일이 존재한다. ISO 파일 실행 시, DVD 드라이브에 lnk 파일과 dll 파일을 생성하며 lnk 파일을 통해 악성 dll 을 로드하게 된다. 이때 dll 은 숨김 속성이 설정되어 있으며, 해당 과정은 모두 Bumblebee 와 동일하다.

  • lnk 명령어
    %windir%\system32\cmd.exe /c start rundll32.exe hertbe.dll,#1

lnk 파일을 통해 로드되는 dll 은 IcedID 악성코드이다. IcedID 는 Emotet, Dridex 와 같이 뱅킹형 악성코드로 메인 모듈을 다운로드 받아 악성 행위를 수행한다. 해당 dll 의 C2 는 아래와 같다.

  • C2
    hxxp://carismorth[.]com/

두번째 유형은 ISO 파일 내부에 lnk 파일과 dll 파일 외에도 여러 개의 파일이 존재한다. ISO 파일 내부는 아래와 같이 lnk 파일 및 2개의 폴더가 존재한다.

lnk 파일은 2개의 폴더 중 them 폴더의 worker.cmd 파일을 실행하도록 한다.

  • lnk 명령어
    C:\them\worker.cmd

lnk 파일에 의해 실행되는 worker.cmd 파일은 동일한 폴더에 존재하는 worker.js 파일을 인자 “l32” 로 실행하는 기능을 수행한다.

worker.js 파일은 인자로 전달 받은 “l32” 와 “rundl” 문자열을 조합하여, 최종적으로 rundll32.exe 를 통해 동일한 폴더에 존재하는 then.dat 파일을 로드하게 된다.

로드되는 then.dat 파일은 dll 파일로 IcedID 악성코드이며, C2 와 패킷은 아래와 같다. 또한, 두번째 유형은 첫번째 유형과 동일하게 lnk 파일을 통해 최종적으로 dll 이 로드되지만, 중간 과정이 추가된 것을 알 수 있다.

  • C2
    hxxp://cootembrast[.]com/

최근 ISO 파일을 이용한 악성코드 유포가 증가하고 있다. 또한, 정상 메일을 가로채 회신하는 형태의 유포 방식도 함께 쓰이고 있어 사용자의 주의가 필요하며, 메일 내 존재하는 첨부파일 열람을 자제해야한다. 현재 V3에서는 해당 악성코드들을 다음과 같이 진단하고 있다.

[파일 진단]
Trojan/Win.Generic.R503676 (2022.07.10.01)
Trojan/Win.IceID.R505751 (2022.07.20.02)
Dropper/ISO.IcedID (2022.07.20.01)
Dropper/ISO.Agent (2022.07.20.02)

 

MD5

354c059e6f6a7d52046855496e9bbcff
6474da79ff6331712c6a2c5cbadc9051
88a254de852e3ba553da1af698215973
ad0436f20e1ecd7fdf9b4d147d8db2da
URL

http[:]//carismorth[.]com/

AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.

Tags:
Previous Post

Next Post