정상 한글 문서를 위장한 악성 링크 파일(LNK)

ASEC 분석팀은 정상 한글 문서를 위장한 악성 LNK 파일이 유포되고 있음을 확인하였다. 국세청을 사칭한 텍스트 파일과 함께 유포되고 있으며 관련 내용이 담긴 정상 한글 문서가 실행되어 사용자가 악성 파일임을 인지하기 어렵다. 최종적으로 실행되는 악성 스크립트 파일은 ‘제품소개서로 위장한 악성 워드 문서‘ 에서 소개한 악성스크립트와 동일한 유형으로 확인되며 같은 공격자에 의해 제작된 것으로 보인다.

최근 확인된 LNK 파일은 다음과 같이 주로 세무조사와 관련된 파일명으로 유포되고 있다.

• 세무조사출석요구.hwp.lnk
• 거래사실 확인신청서(매입자발행세금계산서 발급용)(부가가치세법 시행규칙).hwp.lnk
• 자금출처명세서(부가가치세법 시행규칙).hwp.lnk
• 기타서식 제00호 성실신고확인서.hwp.lnk
• 소득세법 제20호(5) 주요경비지출명세서.hwp.lnk
• 영수증수취명세서.hwp.lnk

LNK 파일은 정상적인 텍스트 파일과 함께 압축 파일 형태로 유포되는 것으로 추정된다. 공격자는 해당 텍스트 파일에 국세청 직원을 사칭한 내용을 포함하여 사용자가 함께 압축된 악성 LNK 파일을 실행하도록 유도한다.

아래 그림은 위 압축 파일에 존재하는 ‘서류신고 절차안내.txt’ 파일에 포함된 내용이다.

악성 LNK 파일은 아래 그림과 같이 한글 문서 아이콘으로 위장하고 있으며 실행 시 파워쉘을 통해 악성 행위가 수행된다.

LNK를 통해 실행된 파워쉘 명령어에는 LNK 파일 내부에 존재하는 정상 한글 문서를 ‘기타서식 제00호 성실신고확인서.hwp’ 명으로 생성 및 실행하여 정상 문서 파일을 실행한 것처럼 보이도록 위장하였다,

이후 %Public% 폴더에 21358.cab 파일과 24360.vbs 파일을 생성하고 24360.vbs를 실행한다. 해당 스크립트 코드에는 다음과 같이 주요 문자열들이 난독화 되어있다.

위 스크립트 실행 시 21358.cab 내부에 압축되어 있는 파일들을 %public%\documents 폴더에 복사한 후 생성한 start.vbs 를 실행한다. 이후 21358.cab 파일과 24360.vbs를 삭제한다.

start.vbs에 존재하는 코드 역시 주요 문자열이 난독화되어 있으며 최종적으로 실행되는 코드는 다음과 같이 fully.bat 파일을 실행하는 기능을 수행한다.

Set nnbhpbt = CreateObject("WScript.Shell") 
ngqjeia = Left(WScript.ScriptFullName, InstrRev(WScript.ScriptFullName, "\" ) - 1) 
nnbhpbt.Run ngqjeia & "\fully.bat", 0 
Set nnbhpbt = Nothing

해당 bat 파일은 start.vbs 파일이 자동으로 실행될 수 있도록 HKCU\Software\Microsoft\Windows\CurrentVersion\Run에 svchostno2으로 등록한다.
이후 no1.bat과 no4.bat 파일을 실행하고 download.vbs를 이용하여 hxxps://filecompact.com/list.php?q=%COMPUTERNAME%.txt 에서 추가 파일을 다운로드한다. 다운로드 한 파일은 setup.cab로 저장 후 압축 해제한 뒤 삭제한다.

위에서 실행된 no1.bat은 start01.vbs 와 start02.vbs를 실행하며, no4.bat 파일은 사용자 PC 정보를 유출하는 코드를 담고 있다.
유출되는 정보는 다음과 같다.

• dir  C:\Users\%username%\downloads\ /s 결과
• dir C:\Users\%username%\documents\ /s 결과
• dir C:\Users\%username%\desktop\ /s 결과
• dir “C:\Program Files\” /s 결과
• nslookup myip.opendns.com resolver1.opendns.com 결과
• tasklist 결과
• systeminfo 결과

수집된 정보는 각각 %public%\documents 폴더 내 cuserdown.txt, cuserdocu.txt, tsklt.txt 등으로 저장된다. 이후 해당 파일들은 upload.vbs 이용하여 hxxps://filecompact.com/upload.php로 전송된다.

no1.bat을 통해 실행된 start01.vbs 파일 역시 난독화된 문자열을 포함하고 있으며, hxxps://naver.filetodownload.com/v2/read/get.php?mi=ln3&te=10294765.txt 에서 추가 파일을 다운로드하여 %public%\740997.zip로 저장한다.

start01.vbs과 동일하게 no1.bat을 통해 실행된 start02.vbs는 앞서 다운로드한 740997.zip 파일을 %public% 폴더에 압축 해제 후 ‘cmd.exe /c rundll32.exe “파일명” “,Run’ 명령어를 통해 압축 해제한 파일을 실행한다. 분석 당시 해당 URL에서 추가 파일이 다운로드 되지 않았지만 공격자에 의해 다양한 악성코드가 다운로드 될 수 있다.

앞서 설명한 한글 문서 외에도 세금 및 명세서와 관련된 내용의 정상 한글 문서로 위장한 악성 LNK 파일이 다수 확인되고 있어 사용자의 각별한 주의가 필요하다.

[파일 진단]

• Dropper/LNK.Agent (2023.01.18.02)
• Trojan/BAT.Agent (2023.01.19.00)
• Trojan/VBS.Agent (2023.01.19.00)
• Downloader/VBS.Generic (2023.01.19.00)
• Trojan/VBS.Obfuscated (2023.01.19.00)
• Trojan/VBS.Runner (2023.01.19.02)
• Trojan/VBS.Uploader (2023.01.19.00)

[IOC 정보]

• 85cc9cfe13f71967aca7b961a3cdf0be (LNK)
• 1bfe8d93ca1b2711fcf9958aa907abac (LNK)
• 5d479cbb619c98df370a1bb6c4190dff (LNK)
• c34cf6d8ef370906b12b42a0b83a3869 (LNK)
• ee8e160336bddbcc5f94f5f93565bfe8 (LNK)
• 8c0528c92510f100fe81b9e0ed0d3698 (LNK)
• d2470fe8a0c3b73acedadc284b380d00 (LNK)
• 5773b236d2263979c4af83efb661ad37 (LNK)
• 6ac02caaad3490df88ebc59e5e2ea6fa
• ceca17155cc484711a7df2d6c85de4ba
• 743f963dca043db8769cdfb6015af3af
• e60022a1e871de0f093edaa81a2ed762
• c11f2d5d9651f82007b6de56bac05652
• a05493d7f163c534e2a923789225ab82
• 9f4993fe2163df12812ec2ad42860334
• 306cd4d12bf80fd6f581d438f7e31c3c
• hxxps://filecompact[.]com/list.php?q=%COMPUTERNAME%.txt
• hxxps://filecompact[.]com/upload.php
• hxxps://naver.filetodownload[.]com/v2/read/get.php?mi=ln3&te=10294765.txt
• hxxps://the-fast-file[.]com/list.php?q=%COMPUTERNAME%.txt
• hxxps://the-fast-file[.]com/upload.php
• hxxps://naver.filedowns[.]net/v2/read/get.php?kioz=ln3&uwac=10294765.txt
• hxxps://fastfilestore[.]com/files/list.php?q=%COMPUTERNAME%.txt
• hxxps://fastfilestore[.]com/files/upload.php

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.