Posted By ,

원고 청탁서로 위장한 악성코드 (안보 분야 종사자 대상)

ASEC 분석팀은 01월 08일 안보 분야 종사자를 대상으로 원고 청탁서로 위장한 문서형 악성코드 유포 정황을 확인하였다. 확보된 악성코드는 워드 문서 내 External 개체를 통해 추가 악성 매크로를 실행한다. 이러한 기법은 템플릿 인젝션(Template Injection) 기법으로 불리며 이전 블로그를 통해 유사한 공격 사례를 소개한 바 있다.

대북관련 본문 내용의 External 링크를 이용한 악성 워드 문서 – ASEC BLOG
ASEC 분석팀에서는 다양한 형태의 문서형 악성코드들에 대해 소개해왔다. 그 중에서 대북과 관련한 본문 내용의 악성 문서는 주로 HWP(한글) 형태로 제작되었고 이전 ASEC 블로그에서도 그 내용을 확인 할 수 있다. 이번에 소개할 내용은 대북 관련한 본문 내용이 담긴 악성 DOC(워드) 문서로, ASEC 분석팀에서 확보해온 해당 문서들의 일부를 공개하고자 한다. 메일로 인해 유포되었을 것으로 추정되는 해당 문서들은 아래와 같은 본문 내용을 포함하며, 문서 내부 XML에 작성된 코드에 ‘외부 External 연결 주소’로 접속하여…

워드 문서를 실행하면 공격자 C&C 서버로부터 추가 악성 워드 매크로 문서를 다운로드 받아 실행한다. 추가로 실행되는 매크로는 사용자가 백그라운드에서 매크로 코드가 실행되는 것을 눈치채지 못하게 하기위해 정상 문서 파일도 함께 실행되도록 작성되어 있다.

[그림 1] 정상 문서 실행 후 악성 스크립트 실행 코드
[그림 2] 원고청탁서 (정상 문서)

공격자가 함께 유포한 정상 문서 파일은 원문은 한글로 작성되어있지만, 중국어 글꼴도 함께 포함되어 있어 공격자는 중국어 워드 환경을 사용하는 것으로 추정된다.

[그림 3] 중국어 글꼴을 포함한 정상 문서
[그림 4] 제작자 추정 (cloudconvert_6)

정상 문서 실행 후에는 정보 유출 스크립트를 다운받아 실행하며 스크립트의 기능은 아래 정보들을 C&C 서버로 유출한다.

  • 감염 PC 시스템 정보
  • 최근 열어본 워드 문서 목록
  • 시스템 내 다운로드 폴더 경로 정보
  • IE 관련 레지스트리키 수정
  • C&C 서버 연결 지속성을 위한 작업 스케줄러 등록
  • 시스템에 설치된 바이러스 백신 정보

특히 공격자 C&C 서버 IP(112.175.85.243)는 지난 01월 03일 블로그에 소개한 “카카오 로그인화면으로 위장한 웹페이지“에서 사용된 도메인과 유사한 피싱 도메인이 해당 IP에서 추가로 발견되어 동일한 공격자로 추정된다.

최근 들어 템플릿 인젝션 기법을 사용하는 APT 공격이 늘어나고 있다. 템플릿 인젝션 기법은 주로 이메일의 첨부 파일 형태로 유포되는 경우가 많으므로 감염 예방을 위해 출처가 불분명한 이메일 발신자의 첨부 파일은 되도록 실행하지 않은것이 중요하다.

현재 안랩 V3 제품은 관련 악성코드를 다음 진단명으로 탐지하고있다.

[IOC]
[External 개체 이용한 워드 문서]
[MD5,진단명(엔진버전)]
– 2c9d6f178f652c44873edad3ae98fff5 – Downloader/DOC.External (2023.01.10.03)
– 68e79490ed1563904791ca54c97b680a – Downloader/DOC.External (2023.01.10.03)

[추가 다운로드 워드 매크로 문서]
– dd954121027d662158dcad24c21d04ba – Downloader/DOC.Kimsuky (2023.01.10.03)
– f22899abfa82e34f6e59fa97847c7dfd – Downloader/DOC.Kimsuky (2023.01.10.03)

[정보 유출 스크립트]
– 3fe5ce0be3ce20b0c3c9a6cd0dae4ae9 – Downloader/VBS.Generic.SC185541 (2023.01.10.03)
– 2244f8798062d4cef23255836a2b4569 – Downloader/VBS.Generic.SC185542 (2023.01.10.03)

[C&C]
– hxxp://lifehelper[.]kr/gnuboard4/bbs/img/upload1/temp.dotm
– hxxp://lifehelper[.]kr/gnuboard4/bbs/img/upload/temp.dotm
– hxxp://lifehelper[.]kr/gnuboard4/bbs/img/upload1/temp.docx
– hxxp://lifehelper[.]kr/gnuboard4/bbs/img/upload/temp.docx
– hxxp://lifehelper[.]kr/gnuboard4/bbs/img/upload1/list.php?query=1
– hxxp://lifehelper[.]kr/gnuboard4/bbs/img/upload/list.php?query=1

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:,,,

3.7 3 votes
별점 주기
Subscribe
Notify of
guest

2 댓글
Inline Feedbacks
View all comments
박승우
박승우
10 months ago

추가 문의하고 싶은데 이메일 부탁드립다

0
Reply
trackback
정상 문서로 위장한 악성코드(kimsuky) - ASEC BLOG
10 months ago

[…] 분석팀은 최근 <원고 청탁서로 위장한 악성코드 (안보 분야 종사자 대상)>에서 소개한 악성코드가 안분 분야 뿐만 아니라 방송 및 일반 기업들을 […]

0
Reply