뉴스 설문지로 위장하여 유포 중인 악성 워드 문서

 ASEC 분석팀은 대북 관련 특정인을 타겟으로 하는 악성 워드 문서에서 확인된 워드 문서 유형이 최근 FTP를 이용하여 사용자 정보를 유출하는 것을 확인하였다. 확인된 워드 문서의 파일명은 ‘CNA[Q].doc’ 로 CNA 싱가포르 방송 인터뷰로 위장하였다. 문서에는 암호가 설정되어 있어 비밀번호와 함께 메일에 첨부되어 유포되는 것으로 추정된다.

암호가 설정된 워드문서

확인된 워드 문서는 이전과 유사하게 대북 관련 내용을 담고 있으며 악성 VBA 매크로가 포함되어 있다.

워드 문서 본문 내용
문서 속성

문서 열람 시 매크로 실행을 유도하는 이미지는 확인되지 않지만 내부에 포함된 매크로에 다음과 같은 코드가 존재한다. 이로 인해 사용자가 타이핑 시 매크로를 실행하여야 한다는 메시지 박스가 생성된다. 따라서 사용자는 문서 작성을 위해 콘텐츠 허용 버튼을 클릭하게 되어 문서에 포함된 VBA 매크로가 실행된다.

워드 문서에 포함된 매크로 코드 일부
타이핑 시 생성되는 메시지 박스

VBA 매크로에는 Document_Open() 함수가 존재하여 악성 매크로가 자동으로 실행된다. 실행되는 매크로 코드는 기존과 유사한 방식으로 난독화 되어 있으며, 최종적으로 %appdata% 폴더에 VBScript인 tmp.pip 파일을 생성 및 실행한다.

자동 실행되는 악성 VBA 매크로 코드

tmp.pip 파일 실행 시 Defender.log, DefenderUpdate.lba, Ahnlab.lnk를 생성한다. 이후 DefenderUpdate.lba의 확장자를 bat로 변경하고 해당 파일을 실행한다. 각 파일의 기능은 다음과 같다.

파일명기능
DefenderUpdate.lba (DefenderUpdate.bat)Ahnlab.lnk 파일 실행 (파일 내부에 Ahnlab.lnk 경로 존재)
Ahnlab.lnk파워쉘을 통해 Defender.log 실행
Defender.log‘hxxp://okihs.mypressonline[.]com/bb/bb.txt’에 존재하는 스크립트 실행
생성 파일 및 기능

Defender.log 실행 시 접속하는 hxxp://okihs.mypressonline[.]com/bb/bb.txt에는 이전 게시글에서 확인된 ng.txt와 유사한 스크립트가 존재한다.

hxxp://okihs.mypressonline[.]com/bb/bb.txt에서 확인된 추가 스크립트

해당 스크립트의 주요 기능은 다음과 같다.

  • 사용자 PC 정보 수집 및 전송 (수집 정보는 %APPDATA%Ahnlab.hwp 로 저장 후 hxxp://okihs.mypressonline[.]com/bb/post.php로 전송)
  • hxxp://okihs.mypressonline[.]com/bb/bb.down에서 추가 파일 다운로드

유출되는 정보 역시 이전과 동일하다.

실행 명령어수집정보
GetFolderPath(“Recent”)최근 폴더 경로
dir $env:ProgramFilesProgramFiles 폴더 내용
dir “C:\Program Files (x86)C:\Program Files (x86) 폴더 내용
systeminfo시스템 정보
수집 정보

bb.txt에서 다운로드 되는 추가 스크립트인 bb.down 파일에는 이전 설명한 ng.down 파일과 달리 FTP를 이용하여 사용자 정보를 유출하는 코드가 추가되었다. 추가 코드를 제외하고 LNK 파일(Ahnlab.lnk) 생성, 오피스 보안 설정 변경, 키로깅 기능은 모두 이전과 동일하게 수행한다. 추가된 코드는 다음과 같다.

추가 확인된 코드

bb.down 스크립트는 실행 시 위 main 함수를 실행하여 “%LOCALAPPDATA%\Google\Chrome\User Data” 와 “%LOCALAPPDATA%\Microsoft\Edge\User Data” 폴더의 하위에 존재하는 파일 중 ‘Local State’가 포함된 파일을 읽어 encrypted_key를 %APPDATA%\masterkey.txt 파일에 저장한다. 이후 FTP를 사용하여 masterkey.txt 파일을 jojoa.mypressonline[.]com/kmas.txt로 업로드한다. 이는 다음에 수집될 브라우저 관련 파일의 내용을 복호화 하기 위함으로 보인다.

encrypted_key 업로드 후 사용자 브라우저에 저장된 정보를 수집하기 위해 아래 파일들을 탐색하여 %APPDATA% 폴더에 복사한다.

수집 경로로컬 저장 경로
%LOCALAPPDATA%\Google\Chrome\User Data 내 ‘Login Data’가 포함된 파일%APPDATA%\LoginData_Chrome[n]
%LOCALAPPDATA%\Google\Chrome\User Data 내 ‘Login Data For Account’가 포함된 파일%APPDATA%\LoginForAccount_Chrome[n]
%LOCALAPPDATA%\Google\Chrome\User Data 내 ‘Cookies’가 포함된 파일%APPDATA%\Cookies_Chrome[n]
%LOCALAPPDATA%\Microsoft\Edge\User Data 내 ‘Login Data’가 포함된 파일%APPDATA%\LoginData_msedge[n]
%LOCALAPPDATA%\Microsoft\Edge\User Data 내 ‘Login Data For Account’가 포함된 파일%APPDATA%\LoginForAccount_msedge[n]
%LOCALAPPDATA%\Microsoft\Edge\User Data 내 ‘Cookies’가 포함된 파일%APPDATA%\Cookies_msedge[n]
수집 파일 및 저장 경로

복사된 파일은 각각 KLoginData, KCookie 등의 파일명으로 공격자 서버에 업로드한다. 각 파일별 업로드 주소는 다음과 같다.

  • LoginData : jojoa.mypressonline[.]com/KLoginData_[Chrome/msedge][n]
  • Login Data For Account : jojoa.mypressonline[.]com/KLoginForAccount_[Chrome/msedge][n]
  • Cookies : jojoa.mypressonline[.]com/KCookie_[Chrome/msedge][n]

또한, 공격자는 공격에 사용된 파워쉘 명령어 확인을 어렵게 하기 위해 파워쉘 명령어 실행 로그가 저장되는 %APPDATA%\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt를 삭제하는 코드를 추가하였다. 이처럼 공격에 사용되는 스크립트가 지속적으로 변경되고 있어 사용자의 각별한 주의가 필요하다.

[파일 진단]
Downloader/DOC.Generic (2022.11.09.00)
Dropper/VBS.Generic (2022.11.16.03)
Downloader/PowerShell.Generic (2022.11.16.03)

[IOC]
59be2b9a3e33057b3d80574764ab0952
89d972f89b336ee07733c72f6f89edc5
8785b8e882eef125dc527736bb1c5704
okihs.mypressonline[.]com
jojoa.mypressonline[.]com

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:, ,

5 1 vote
별점 주기
guest

0 댓글
Inline Feedbacks
View all comments