Posted By ASEC , 2022년 10월 25일

VBS를 통해 유포 중인 AgentTesla

ASEC 분석팀은 최근 악성 VBS 통해 AgentTesla가 유포되고 있음을 확인하였다. 스크립트 파일에는 다수의 코드가 여러 번 난독화 되어 있는 특징이 있다. AgentTesla는 지난 5월 윈도우 도움말 파일(*.chm)을 통한 유포가 확인된 이력이 있으며 지속적으로 유포 방식을 변경하고 있는 것으로 보인다.

윈도우 도움말 파일(*.chm)을 통해 유포 중인 AgentTesla – ASEC BLOG

ASEC 분석팀은 최근 AgentTesla 악성코드가 새로운 방식으로 유포 중인 정황을 포착하였다. ASEC 블로그에도 여러 번 소개해왔던 AgentTesla 의 기존 유포 방식은 파워포인트(*.ppt) 문서 내 악성 VBA 매크로를 이용하였다면, 새로운 유포 방식은 윈도우 도움말 파일(*.chm) 을 이용하여 powershell 명령어를 실행하는 것으로 확인하였다. 악성 CHM 파일은 운송 회사인 DHL 을 사칭한 피싱 메일에 첨부되어 압축 파일 형태로 유포되고 있다. DHL 외에도 다양한 주제로 피싱 메일을 유포하고 있어 사용자…

VBS 스크립트는 메일에 압축 파일 형태로 첨부되어 유포된다. 최근에는 국내 기업을 사칭한 유포 메일도 확인되었다.

압축파일 내부에는 VBS가 존재하며 유포 파일명으로 송장, 제안서 등의 파일명을 주로 사용한다. 확인된 파일명은 다음과 같다.

날짜	파일명
10/05	doc_10049500220529464169750.pdf.vbs
10/07	doc_5246701207754814333490.vbs
10/12	№ 106 – Supply of Flex.vbs protected copy of the commercial invoice.vbs
10/12	LJUR900225565_pdf.vbs
10/13	770140578183.CL.NoticeOfArrival.vbs
10/15	Urgent RFQ No.6554342.vbs
10/17	JKTR002014953_5101075053_ppwk.vbs
10/17	Order List(Draft) 9419-PDF.vbs
10/18	BESOLO.vbs
10/21	BEST SOLU.vbs

확인된 파일명

확인된 VBS 파일에는 주석과 더미 코드가 다수 존재한다.

다수의 주석과 더미 코드를 제외하면 코드 하단에 현재 실행된 VBS 파일에 있는 문자열을 2글자씩 제외하며 읽어 들이는 기능을 수행하는 코드가 확인된다.

해당 코드 실행 시 주석으로 있던 문자열이 디코딩 되어 새로운 스크립트 코드가 실행된다. 디코딩된 코드는 난독화된 쉘코드 및 추가 파워쉘 명령어를 포함하고 있다.

위 스크립트 코드 실행 시 난독화된 쉘코드인 ‘Ch8’의 값을 HKCU\Software\Basilicae17\Vegetates 에 저장한다.

이후 ‘O9’ 변수의 값을 파워쉘로 실행한다. ‘O9’ 변수에는 파워쉘 명령어가 저장되어 있으며, 실행되는 명령어는 다음과 같이 난독화되어 있다.

powershell.exe “$Quegh = “””DatFMaruBidnMescFultkariStaoPtenKol EftHStaTBesBCel Uer{Taw fem Las Ude UndpLawaDokrSlaaQuamAsi(Uhj[DagSBontUnbrSkaiTilnHalgTis]Fes`$LivHPerSWir)Con;Fat Ret Hjl Amp Aft`$IntBLavySaltfaseBinsEno Che=Sax CenNDvdeDoswCyp-VovOShab <중략> Ind5Nin3Ree#Apo;”””;;
Function Tammy159 { param([String]$HS); For($i=3; $i -lt $HS.Length-1; $i+=(3+1)){ $Statice = $Statice + $HS.Substring($i, 1); } $Statice;}
$Ambulancetjeneste1820 = Tammy159 ‘UnsIPujEFolXInt ‘;
$Ambulancetjeneste1821= Tammy159 $Quegh;
& ($Ambulancetjeneste1820) $Ambulancetjeneste1821;;

실행되는 파워쉘 명령어

파워쉘 코드는 ‘$Quegh’ 변수에 저장된 난독화된 값을 3글짜씩 제외하는 방식으로 디코딩한다. (ex. UnsIPujEFolXInt -> IEX)
디코딩된 명령어 역시 난독화되어 있으며 최종적으로 실행되는 코드는 다음과 같다.

앞서 HKCU\Software\Basilicae17\Vegetates에 저장하였던 난독화된 쉘코드를 base64로 디코딩하여 실행한다. 실행된 쉘코드는 정상 프로세스인 CasPol.exe에 AgentTesla 악성코드를 인젝션한다. AgentTesla는 정보 유출형 악성코드로 사용자 PC 정보를 수집하여 CO_[user명]/[PC명].zip으로 압축한 후 메일을 통해 유출한다.

사용되는 메일 정보는 다음과 같다.

From : hasan@edp-bkv.com
To : kingpentecost22@gmail.com
pw : Fb56****65fr

AgentTesla는 주간 통계에서도 지속적으로 확인되는 악성코드로 유포 방식이 꾸준히 변화하고 있다. 또한, 쉘코드에 따라 AgentTesla 외에도 다양한 악성코드가 실행될 수 있어 주의가 필요하다.

[파일 진단]
Dropper/VBS.Generic.SC183860 (2022.10.14.02)
Downloader/VBS.Powershell (2022.10.17.02)
Trojan/VBS.Agent.SC183831 (2022.10.14.00)
Trojan/VBS.Obfuscated.SC183877 (2022.10.18.00)

[IOC]
7fe2ed92d9306c8f0843cbb4a38f88e0
b06081daa9bc002cd750efb65e1e932e
eccef74de61f20a212ecbb4ead636f73
ea202427fbe14d9a6d808b9ee911f68c

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.