6개월만에 Excel 파일을 통해 다시 유포 중인 Emotet 악성코드

ASEC 분석팀은 다양한 방식을 통해 변형되어 유포된 Emotet 악성코드에 대해 여러 차례 블로그를 통해 정보를 공개한 바 있다.

최근 Emotet 악성코드의 유포가 다시 활발해진 정황이 확인되었다. 마지막으로 활발한 유포 양상을 보이던 것부터 약 6개월이 지난 시점이며, 당시 유포되었던 Excel 파일과 어떤 부분이 달라졌는지 살펴보려고 한다.

그림 1) Excel 첨부파일을 통해 유포되는 Emotet 악성코드 (1)
그림 2) Excel 첨부파일을 통해 유포되는 Emotet 악성코드 (2)

무작위적인 이메일의 첨부파일을 통해 유포되는 것과, Excel 시트에 하얀색 텍스트로 여러 수식을 분산은닉한 뒤 시트숨김 조치를 하는 것은 모두 동일한 방식을 보였다. 흥미로운 점은 이번에 유포된 엑셀 파일들은 지금까지 유포되던 파일들과 몇 가지 다른 특징이 존재하였는데, 하나씩 살펴보면 다음과 같다.

  1. 셀매크로를 동작하게 하는 유도방식의 변화

셀매크로를 동작하게 하도록 직접적으로 유도하던 방식에서 변화를 보였다. 기존에 확인된 파일에서는 아래와 같은 문구를 사용하며 ‘콘텐츠 사용(Enable Content)’ 버튼을 누르도록 유도하였으나, 아래의 그림 4)에서 확인되는 것과 같이 Microsoft Office의 Templates 폴더에 해당 Excel 파일을 복사한 뒤 재실행(Relaunch)을 권고하는 방식으로 변경되었음을 알 수 있다.

Templates 폴더는 Microsoft Office 정책 상 신뢰할만한 위치로 간주되기 때문에 매크로 보안 경고가 발생하지 않고 즉시 실행되는 점을 악용한 것이다.

[기존]

  • Click “Enable Editing” from yellow bar above.
  • Most features are disabled. To view and edit document click Enable Editing and click Enable Content.
그림 3) 기존의 매크로 허용 유도문구

[현재]

  • RELAUNCH REQUIRED
    In accordance with the requirements of your security policy, to display the contents of the document, you need to copy the file to the following folder and run it again.

    for Microsoft Office 2013 x32 and earlier – C:\Program Files\Microsoft Office (x86)\Templates
    for Microsoft Office 2013 x64 and earlier – C:\Program Files\Microsoft Office\Templates
    for Microsoft Office 2016 x32 and later – C:\Program Files (x86)\Microsoft Office\root\Templates
    for Microsoft Office 2016 x64 and later – C:\Program Files\Microsoft Office\root\Templates
그림 4) 매크로 허용유도 문구 및 방식의 변화

2. 시트보호 조치가 더해짐

공격자는 수식매크로를 사용하기 위해 시트 내에 수식을 분산은닉 시킨 후 시트숨김조치를 하였는데, 더 나아가 작성한 수식매크로를 확인 할 수 없도록 숨김조치 한 시트의 데이터를 확인할 수 없도록 시트보호 조치를 추가하였다.

그림 5) 시트보호 조치가 추가된 Excel

분석과정에서 확인한 시트보호 해제 비밀번호는 ‘AABABAAABBB^‘ 로 확인되었으며, 시트보호를 해제하면 기존과 동일하게 분산은닉 되어있는 데이터가 존재함을 알 수 있다. 추정컨대, 시트 내부 데이터에 대한 분석 및 진단을 회피하기 위한 목적으로 보여진다.

3. Emotet 바이너리의 실행방식 변화

rundll32.exe 를 통해 .ocx 확장자로 저장되는 DLL 파일(Emotet 바이너리)을 실행하는 것에서, regsvr32.exe 를 통해 .ooccxx 확장자의 DLL파일을 실행하는 것으로 실행 프로세스가 변경된 것을 확인할 수 있다.

  • C:\Windows\System32\regsvr32.exe /S .. \oxnv1.ooccxx
  • C:\Windows\System32\regsvr32.exe /S .. \oxnv2.ooccxx
  • C:\Windows\System32\regsvr32.exe /S .. \oxnv3.ooccxx
  • C:\Windows\System32\regsvr32.exe /S .. \oxnv4.ooccxx

사용자는 V3를 최신 버전으로 업데이트하여 사용하고 출처가 불분명한 문서파일 실행을 자제해야 한다.

[파일 진단]
– Downloader/MSOffice.Generic (2022.11.04.00)
– Trojan/Win.Emotet.R532802 (2022.11.04.01)
– Trojan/Win.Emotet.C5291114 (2022.11.04.03)
– Downloader/XLS.XlmMacro.S1947 (2022.11.07.02)

[행위 진단]
– Execution/MDP.Behavior.M3638

[IOC]
MD5
– 65d9d5c0a65355b62f967c57fa830348
– 64389305b712201a7dd0dc565f3f67e6
– 87fdbba19c131e74fbe2f98b135751d5
– 4aea7dd048106492a8c3d200924a3c39

C&C 및 다운로드
– hxxps://aldina[.]jp/wp-admin/YvD46yh/
– hxxps://www.alliance-habitat[.]com/cache/lE8/
– hxxps://anguklaw[.]com/microsoft-clearscript/oVgMlzJ61/
– hxxps://andorsat[.]com/css/5xdvDtgW0H4SrZokxM/

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

5 2 votes
별점 주기
Subscribe
Notify of
guest

0 댓글
Inline Feedbacks
View all comments