ASEC 분석팀은 GuLoader 악성코드가 국내 기업 사용자를 대상으로 유포 중인 정황을 포착하였다. GuLoader 는 다운로더 악성코드로, 다양한 악성코드를 다운로드하며 과거부터 꾸준히 변형되어 유포되고 있다. 유포 중인 피싱 메일은 아래와 같으며, HTML 파일이 첨부된 형태이다.

첨부된 HTML 파일을 실행하게 되면, 아래 URL 을 통해 압축 파일이 다운로드된다.
- 다운로드 URL
hxxp://45.137.117[.]184/Files_For_Potosinos/Doc_Scan.zip

압축 파일 내부에는 IMG 파일이 존재하며, IMG 파일 내부에 GuLoader 악성코드가 존재한다.

GuLoader 는 Word 아이콘으로 위장하였으며, 파일 끝에 약 600MB 크기의 Null 값이 추가된 형태이다.

또한, 지난 7월 ASEC 블로그를 통해 소개했던 GuLoader 와 동일하게 NSIS 형태이지만 이번에 유포된 GuLoader 에서 NSIS Script 의 기능에 변화가 생겼다. 기존 NSIS Script 는 아래와 같이 호출하는 DLL 및 API 명의 일부 문자열이 존재했지만, 변경된 NSIS Script 에서는 진단을 우회하기 위해 관련 문자열을 모두 제거하였다.

제거된 문자열들은 특정 파일에 인코딩된 형태로 존재한다. NSIS 파일 실행 시 함께 생성되는 파일 중 “Udmeldt.Ext” 파일은 이후에 로드될 ShellCode 이며, “Modig.Sta0” 파일은 호출할 DLL 및 API 명이 인코딩된 형태로 존재한다. 문자열을 디코딩하는 과정은 아래 NSIS Script 를 통해 확인할 수 있다.

먼저, API 호출을 위해 Modig.Sta0 파일의 12278(0x2FF6) 위치 데이터부터 XOR 을 수행한다.

디코딩된 데이터는 아래와 같으며, 순서대로 API 를 호출하게 된다.

API 가 순서대로 호출되면 할당된 메모리에 “Udmeldt.Ext” 파일의 21200(0x52D0) 위치 데이터를 로드 후 실행하게 된다. 이때 로드된 데이터가 실제 악성 행위를 수행한다.


로드된 GuLoader 는 “C:\program files\internet explorer\ieinstal.exe” 경로의 정상 프로세스를 실행 후 악성 데이터를 인젝션한다. 인젝션된 정상 프로세스는 아래 URL 에 접속하여 추가 악성코드 다운로드를 시도한다. 현재는 다운로드가 되지 않지만, Formbook, RedLine, AgentTesla 등 인포스틸러 및 RAT 형태의 악성코드를 다운로드 할 수 있다.
- 다운로드 URL
hxxp:// 45.137.117[.]184/riBOkPd173.mix
다운로더 악성코드인 GuLoader 는 진단을 우회하기 위해 꾸준하게 변형되어 유포되고 있다. 또한, 국내 사용자를 대상으로 유포되고 있어 주의가 필요하며, 출처가 불분명한 메일의 경우 첨부파일을 실행하지 않아야 한다. 현재 V3 에서는 해당 악성코드를 다음과 같이 진단하고 있다.
[파일 진단]
Downloader/HTML.Generic.SC183804 (2022.10.11.03)
Trojan/Win.Agent.C5275941 (2022.10.11.03)
[IOC]
9227aca78ee90c18f87597516a28b091
f3abed0008eef87e2fb082d16e5df4d1
hxxp://45.137.117[.]184/Files_For_Potosinos/Doc_Scan.zip
hxxp:// 45.137.117[.]184/riBOkPd173.mix
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보