VBS를 통해 유포 중인 AgentTesla

ASEC 분석팀은 최근 악성 VBS 통해 AgentTesla가 유포되고 있음을 확인하였다. 스크립트 파일에는 다수의 코드가 여러 번 난독화 되어 있는 특징이 있다. AgentTesla는 지난 5월 윈도우 도움말 파일(*.chm)을 통한 유포가 확인된 이력이 있으며 지속적으로 유포 방식을 변경하고 있는 것으로 보인다.

VBS 스크립트는 메일에 압축 파일 형태로 첨부되어 유포된다. 최근에는 국내 기업을 사칭한 유포 메일도 확인되었다.

유포 이메일

압축파일 내부에는 VBS가 존재하며 유포 파일명으로 송장, 제안서 등의 파일명을 주로 사용한다. 확인된 파일명은 다음과 같다.

날짜파일명
10/05doc_10049500220529464169750.pdf.vbs
10/07doc_5246701207754814333490.vbs
10/12№ 106 – Supply of Flex.vbs
protected copy of the commercial invoice.vbs
10/12LJUR900225565_pdf.vbs
10/13770140578183.CL.NoticeOfArrival.vbs
10/15Urgent RFQ No.6554342.vbs
10/17JKTR002014953_5101075053_ppwk.vbs
10/17Order List(Draft) 9419-PDF.vbs
10/18BESOLO.vbs
10/21BEST SOLU.vbs
확인된 파일명

확인된 VBS 파일에는 주석과 더미 코드가 다수 존재한다.

확인된 VBS 파일

다수의 주석과 더미 코드를 제외하면 코드 하단에 현재 실행된 VBS 파일에 있는 문자열을 2글자씩 제외하며 읽어 들이는 기능을 수행하는 코드가 확인된다.

VBS 내부 코드

해당 코드 실행 시 주석으로 있던 문자열이 디코딩 되어 새로운 스크립트 코드가 실행된다. 디코딩된 코드는 난독화된 쉘코드 및 추가 파워쉘 명령어를 포함하고 있다.

디코딩된 VBS 코드

위 스크립트 코드 실행 시 난독화된 쉘코드인 ‘Ch8’의 값을   HKCU\Software\Basilicae17\Vegetates 에 저장한다.

레지스트리에 저장된 값

이후 ‘O9’ 변수의 값을 파워쉘로 실행한다. ‘O9’ 변수에는 파워쉘 명령어가 저장되어 있으며, 실행되는 명령어는 다음과 같이 난독화되어 있다.

powershell.exe  “$Quegh = “””DatFMaruBidnMescFultkariStaoPtenKol EftHStaTBesBCel Uer{Taw fem Las Ude UndpLawaDokrSlaaQuamAsi(Uhj[DagSBontUnbrSkaiTilnHalgTis]Fes`$LivHPerSWir)Con;Fat Ret Hjl Amp Aft`$IntBLavySaltfaseBinsEno Che=Sax CenNDvdeDoswCyp-VovOShab <중략> Ind5Nin3Ree#Apo;”””;;
Function Tammy159 { param([String]$HS);  For($i=3; $i -lt $HS.Length-1; $i+=(3+1)){ $Statice = $Statice + $HS.Substring($i, 1);   }    $Statice;}
$Ambulancetjeneste1820 = Tammy159 ‘UnsIPujEFolXInt ‘;
$Ambulancetjeneste1821= Tammy159 $Quegh;
& ($Ambulancetjeneste1820) $Ambulancetjeneste1821;;
실행되는 파워쉘 명령어

파워쉘 코드는 ‘$Quegh’ 변수에 저장된 난독화된 값을 3글짜씩 제외하는 방식으로 디코딩한다. (ex.  UnsIPujEFolXInt -> IEX)
디코딩된 명령어 역시 난독화되어 있으며 최종적으로 실행되는 코드는 다음과 같다.

최종적으로 실행되는 파워쉘 명령어

앞서 HKCU\Software\Basilicae17\Vegetates에 저장하였던 난독화된 쉘코드를 base64로 디코딩하여 실행한다. 실행된 쉘코드는 정상 프로세스인 CasPol.exe에 AgentTesla 악성코드를 인젝션한다. AgentTesla는 정보 유출형 악성코드로 사용자 PC 정보를 수집하여 CO_[user명]/[PC명].zip으로 압축한 후 메일을 통해 유출한다.

사용되는 메일 정보는 다음과 같다.

  • From : hasan@edp-bkv.com
  • To : kingpentecost22@gmail.com
  • pw : Fb56****65fr
유출된 정보

AgentTesla는 주간 통계에서도 지속적으로 확인되는 악성코드로 유포 방식이 꾸준히 변화하고 있다. 또한, 쉘코드에 따라 AgentTesla 외에도 다양한 악성코드가 실행될 수 있어 주의가 필요하다.

[파일 진단]
Dropper/VBS.Generic.SC183860 (2022.10.14.02)
Downloader/VBS.Powershell (2022.10.17.02)
Trojan/VBS.Agent.SC183831 (2022.10.14.00)
Trojan/VBS.Obfuscated.SC183877 (2022.10.18.00)

[IOC]
7fe2ed92d9306c8f0843cbb4a38f88e0
b06081daa9bc002cd750efb65e1e932e
eccef74de61f20a212ecbb4ead636f73
ea202427fbe14d9a6d808b9ee911f68c

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:,

0 0 votes
별점 주기
Subscribe
Notify of
guest

0 댓글
Inline Feedbacks
View all comments