ASEC 분석팀은 지난 9월에 소개했던 Qakbot 악성코드가 국내 사용자를 대상으로 유포 중인 것을 확인하였다. ISO 파일을 이용한 점을 포함한 전체적인 동작 과정은 기존과 유사하지만, 행위 탐지를 우회하기 위한 과정이 추가되었다.
먼저, 국내 사용자를 대상으로 유포된 이메일은 아래와 같다. 해당 메일은 기존 정상 메일을 가로채 악성 파일을 첨부하여 회신한 형태로, 이전에 블로그를 통해 소개했던 Bumblebee 와 IceID 의 유포 과정과 동일하다. 사용자는 이전 메일 내용이 포함되어 있어 정상적인 회신 메일로 착각할 수 있다. 최근 이와 같은 이메일 하이재킹 방식이 증가하고 있는 것을 알 수 있다.
메일에 첨부된 HTML 파일은 기존과 동일하게 스크립트 내에 존재하는 압축 파일을 생성한다. 압축 파일은 패스워드가 설정되어 있으며, 압축 파일에 패스워드를 설정하는 것은 파일에 대한 탐지를 우회하기 위한 목적으로 보인다. 패스워드는 아래와 같이 HTML 페이지 내에서 확인할 수 있다.
생성된 압축 파일 내부에는 ISO 파일이 존재하며, ISO 파일 내부는 기존과 유사하게 LNK 파일과 CMD 파일, 악성 DLL 이 존재한다.
LNK 파일의 속성은 아래와 같으며, 함께 생성된 CMD 파일을 실행한다.
CMD 파일은 시스템 폴더에 존재하는 정상 프로그램(regsvr32.exe) 을 “C:\\Users\\Public\\re.exe” 경로에 복사 후 해당 경로의 파일을 통해 악성 DLL 을 로드하게 된다. 정상 경로의 프로그램을 특정 경로에 복사하여 실행하는 과정은 악성 DLL 을 로드하는 주체를 임의의 프로세스로 인식하게 하여 행위 탐지를 우회하기 위한 것으로 추정된다.
로드된 DLL 은 뱅킹형 악성코드인 Qakbot 으로, 정상 프로세스(wermgr.exe) 를 실행 후 악성 데이터를 인젝션한다. 인젝션된 프로세스는 다수의 C2 를 디코딩하여 연결을 시도하며, C2에 연결될 경우 악성 모듈 다운로드, 금융 정보 탈취 등의 추가 악성 행위가 수행될 수 있다.
- C2
197.158.89[.]85:443
105.69.155[.]85:995
41.248.72[.]229:8443
8.246.161[.]254:80
최근 ISO 파일을 이용한 악성코드 유포가 증가하고 있다. 또한, 정상 메일을 가로챈 후 악성파일을 첨부하여 회신하는 형태의 피싱 방식이 다수 확인되고 있어 사용자는 알 수 없는 발신자의 경우 첨부 파일 열람을 자제해야한다. V3에서는 해당 악성코드들을 다음과 같이 진단하고 있다.
[파일 진단]
Dropper/HTML.Qakbot.SC183805 (2022.10.11.03)
Malware/Win.Possible_smhpqakbottha.R525663 (2022.10.08.01)
Trojan/CMD.Runner (2022.10.20.03)
[IOC]
00a12831f1f2d1b6375c2da6725148b5
3c6ca0315dd040d5752e488c743c17c2
d92fe35ba1c68a744f5f73e40469390a
197.158.89[.]85:443
105.69.155[.]85:995
41.248.72[.]229:8443
8.246.161[.]254:80
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보