6개월만에 Excel 파일을 통해 다시 유포 중인 Emotet 악성코드

ASEC 분석팀은 다양한 방식을 통해 변형되어 유포된 Emotet 악성코드에 대해 여러 차례 블로그를 통해 정보를 공개한 바 있다.

최근 Emotet 악성코드의 유포가 다시 활발해진 정황이 확인되었다. 마지막으로 활발한 유포 양상을 보이던 것부터 약 6개월이 지난 시점이며, 당시 유포되었던 Excel 파일과 어떤 부분이 달라졌는지 살펴보려고 한다.

엑셀 파일을 통해 유포 중인 Emotet 악성코드 – ASEC BLOG

ASEC 분석팀은 Emotet 악성코드를 다운로드하는 엑셀 문서가 지난달부터 꾸준히 유포되고 있음을 확인하였다. 엑셀 파일 내부에는 아래 그림과 같이 매크로 실행을 유도하는 내용이 포함되어 있다. 엑셀 파일에는 숨겨진 시트에 존재하는 특정 셀에 대해 매크로 이름 상자에 Auto_Open으로 지정되어있어 사용자가 콘텐츠 사용 버튼 클릭 시 해당 셀에 있는 수식이 자동으로 실행된다. Auto_Open으로 지정된 셀에는 다음과 같이 mshta를 실행하는 명령어가 포함되어있다. hxxp://92.255.57[.]195/ru/ru.html…

엑셀 문서를 통해 Emotet 악성코드 국내 유포 중 – ASEC BLOG

ASEC 분석팀은 최근 Emotet 악성코드를 다운로드하는 악성 엑셀 문서가 활발히 유포되고 있음을 확인하였다. 지난달 ‘엑셀 파일을 통해 유포 중인 Emotet 악성코드’를 통해 해당 유형의 악성코드에 대해 소개하였다. 당시에는 매크로 시트를 활용한 유형의 엑셀 문서만 확인되었지만, 최근에는 VBA 매크로를 이용하여 악성 행위를 수행하는 유형도 추가되었다. 유포 메일에는 암호가 설정된 압축 파일이 첨부되어 있으며, 압축 파일 내부에는 엑셀 문서가 존재한다. Scan_2456321.xlsx 파일의 경우 이전과 동일하게 Auto_Op…

무작위적인 이메일의 첨부파일을 통해 유포되는 것과, Excel 시트에 하얀색 텍스트로 여러 수식을 분산은닉한 뒤 시트숨김 조치를 하는 것은 모두 동일한 방식을 보였다. 흥미로운 점은 이번에 유포된 엑셀 파일들은 지금까지 유포되던 파일들과 몇 가지 다른 특징이 존재하였는데, 하나씩 살펴보면 다음과 같다.

1. 셀매크로를 동작하게 하는 유도방식의 변화

셀매크로를 동작하게 하도록 직접적으로 유도하던 방식에서 변화를 보였다. 기존에 확인된 파일에서는 아래와 같은 문구를 사용하며 ‘콘텐츠 사용(Enable Content)’ 버튼을 누르도록 유도하였으나, 아래의 그림 4)에서 확인되는 것과 같이 Microsoft Office의 Templates 폴더에 해당 Excel 파일을 복사한 뒤 재실행(Relaunch)을 권고하는 방식으로 변경되었음을 알 수 있다.

Templates 폴더는 Microsoft Office 정책 상 신뢰할만한 위치로 간주되기 때문에 매크로 보안 경고가 발생하지 않고 즉시 실행되는 점을 악용한 것이다.

[기존]

• Click “Enable Editing” from yellow bar above.
• Most features are disabled. To view and edit document click Enable Editing and click Enable Content.

[현재]

• RELAUNCH REQUIRED
  In accordance with the requirements of your security policy, to display the contents of the document, you need to copy the file to the following folder and run it again.
  
  for Microsoft Office 2013 x32 and earlier – C:\Program Files\Microsoft Office (x86)\Templates
  for Microsoft Office 2013 x64 and earlier – C:\Program Files\Microsoft Office\Templates
  for Microsoft Office 2016 x32 and later – C:\Program Files (x86)\Microsoft Office\root\Templates
  for Microsoft Office 2016 x64 and later – C:\Program Files\Microsoft Office\root\Templates

2. 시트보호 조치가 더해짐

공격자는 수식매크로를 사용하기 위해 시트 내에 수식을 분산은닉 시킨 후 시트숨김조치를 하였는데, 더 나아가 작성한 수식매크로를 확인 할 수 없도록 숨김조치 한 시트의 데이터를 확인할 수 없도록 시트보호 조치를 추가하였다.

분석과정에서 확인한 시트보호 해제 비밀번호는 ‘AABABAAABBB^‘ 로 확인되었으며, 시트보호를 해제하면 기존과 동일하게 분산은닉 되어있는 데이터가 존재함을 알 수 있다. 추정컨대, 시트 내부 데이터에 대한 분석 및 진단을 회피하기 위한 목적으로 보여진다.

3. Emotet 바이너리의 실행방식 변화

rundll32.exe 를 통해 .ocx 확장자로 저장되는 DLL 파일(Emotet 바이너리)을 실행하는 것에서, regsvr32.exe 를 통해 .ooccxx 확장자의 DLL파일을 실행하는 것으로 실행 프로세스가 변경된 것을 확인할 수 있다.

• C:\Windows\System32\regsvr32.exe /S .. \oxnv1.ooccxx
• C:\Windows\System32\regsvr32.exe /S .. \oxnv2.ooccxx
• C:\Windows\System32\regsvr32.exe /S .. \oxnv3.ooccxx
• C:\Windows\System32\regsvr32.exe /S .. \oxnv4.ooccxx

사용자는 V3를 최신 버전으로 업데이트하여 사용하고 출처가 불분명한 문서파일 실행을 자제해야 한다.

[파일 진단]
– Downloader/MSOffice.Generic (2022.11.04.00)
– Trojan/Win.Emotet.R532802 (2022.11.04.01)
– Trojan/Win.Emotet.C5291114 (2022.11.04.03)
– Downloader/XLS.XlmMacro.S1947 (2022.11.07.02)

[행위 진단]
– Execution/MDP.Behavior.M3638

[IOC]
MD5
– 65d9d5c0a65355b62f967c57fa830348
– 64389305b712201a7dd0dc565f3f67e6
– 87fdbba19c131e74fbe2f98b135751d5
– 4aea7dd048106492a8c3d200924a3c39

C&C 및 다운로드
– hxxps://aldina[.]jp/wp-admin/YvD46yh/
– hxxps://www.alliance-habitat[.]com/cache/lE8/
– hxxps://anguklaw[.]com/microsoft-clearscript/oVgMlzJ61/
– hxxps://andorsat[.]com/css/5xdvDtgW0H4SrZokxM/

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.