국내 대학교 대상으로 악성 CHM 유포 중

ASEC 분석팀은 국내 특정 대학교를 대상으로 악성 CHM 파일이 다수 유포되고 있는 정황을 포착하였다. 유포 중인 악성 CHM 파일은 지난 5월에 소개했던 유형과 동일한 유형인 것으로 확인하였다.

[그림 1] 은 악성 CHM 내부에 존재하는 HTM 파일의 코드이며, 파일명 “2022년도_기초과학연구역량강화사업_착수보고회_개최_계획 Ver1.1.chm” 으로 유포 중인 것으로 추정된다. 사용자가 악성 CHM 파일을 실행하게 되면, 해당 HTM 파일의 코드가 실행된다. 해당 스크립트는 hh.exe 를 통해 CHM 파일을 디컴파일 후 LBTWiz32.exe 파일을 실행하는 기능을 수행한다. 이후 정상 이미지(KBSI_SNS_003.jpg) 를 사용자 PC 화면에 생성하여 악성 행위를 알아차리기 어렵도록 한다. 정상 이미지는 [그림 2] 와 같이 도움말 창을 통해 나타나며, 공격자는 실제 정상 문서를 수집하여 피싱 이미지에 이용한 것을 확인할 수 있다.

[그림 1] 내부 HTM 코드
[그림 2] 사용자 화면에 나타나는 도움말 창

실행되는 LBTWiz32.exe 는 정상 프로그램이며, DLL 하이재킹을 통해 같은 경로에 생성된 악성 DLL (LBTServ.dll) 이 로드되어 동작한다. 악성 DLL은 %TEMP% 폴더에 악성 VBE 파일을 생성 및 실행하며, 악성 VBE 파일은 ReVBShell 이다. [그림 3] ~ [그림 5] 는 디코딩된 VBE 코드 중 일부이다. 또한, LBTWiz32.exe 를 RUN 키에 등록하여 지속적인 악성 행위가 가능하도록 한다.

[그림 3] 백신 제품 확인 (1)
[그림 4] 백신 제품 확인 (2)
[그림 5] C2 연결

ReVBShell 은 기존에 소개한 유형과 동일하게 “ESET Security” 제품이 존재하는 경우 악성 행위를 수행하지 않는다. 해당 백신 재품이 존재하지 않는 경우 C2 에 연결을 시도하며 , C2 연결 시 공격자 명령에 따라 아래 기능을 수행할 수 있다.

  • VBE 기능
    운영체제 정보 획득 (“SELECT * FROM Win32_OperatingSystem”)
    네트워크 어뎁터 정보 획득 (SELECT * FROM Win32_NetworkAdapterConfiguration WHERE MACAddress > ”)
    컴퓨터 이름 및 도메인 정보 획득
    현재 실행 중인 프로세스 정보 획득 (SELECT * FROM Win32_Process)
    파일 다운로드 및 실행 기능
    WGET 기능

최근 CHM 을 이용한 악성코드 유포가 국내에서 다수 확인되고 있다. 또한, 특정 기관을 대상으로 유포되고 있어 관련 사용자들은 더욱 주의해야하며, 출처가 불분명한 파일 실행을 자제해야한다. 현재 V3 에서는 해당 악성코드들을 다음과 같이 진단하고 있다.

[파일 진단]
Dropper/CHM.Agent (2022.08.04.02)
Trojan/Win.ReverseShell.R506553 (2022.07.26.00)
Trojan/HTML.Generic (2022.07.26.00)
Trojan/VBS.Generic (2022.07.26.00)

[IOC]
5556dd9fefcc1cace18031e89d80554e
56b3067c366827e6814c964dd8940c88
058bed5a09c20618897888022fd0116e
e8aa5c0309cbc1966674b110a4afd83a
ckstar.zapto[.]org:443

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

4 2 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments