원노트(OneNote)로 유포중인 Emotet 악성코드

AhnLab Security Emergency response Center(ASEC)에서는 최근 Emotet 악성코드가 원노트(OneNote)를 통해 유포 중임을 확인하였다. 스피어피싱을 기반으로 시작하는 아래와 같은 이메일을 통해 악성 스크립트 파일(JS 파일)이 포함된 원노트 열람을 유도한다.

[그림 1] 악성 원노트 첨부파일이 포함된 피싱 메일

원노트 실행 시 문서 열람을 위해 클라우드로 연결하는 버튼 클릭을 유도하며, Next 버튼에는 output1.js 명의 악성 스크립트가 삽입되어있다.

[그림 2] 악성 스크립트 파일 실행을 유도하는 원노트

실행된 output1.js 파일은 아래와 같이 문자열 치환 방식으로 난독화되어 있으며, 최종적으로 실행된 스크립트 파일은 지정된 C2에 접속하여 Emotet 악성코드를 다운로드한다.

[그림 3] 난독화 된 스크립트 파일 일부

다운로드 된 Emotet 악성코드는 regsvr32.exe을 통해 실행된다. 최근 원노트를 악용한 악성코드 유포가 빈번히 확인되어 출처가 불분명한 이메일이나 원노트의 열람에 있어서 각별한 주의가 필요하다.

[진단]

  • Malware/Win.Generic.C5398625 (2023.03.22.02)
  • Downloader/JS.Agent (2023.03.24.00)
  • Dropper/MSOffice.Generic (2023.03.24.00)

[IOC]

MD5

  • b1a10568aa1e4a47ad2aa35788edc0af
  • ad0358aa96105ca02607a7605f3a1e80
  • 08d40c504500c324b683773b1c6189d9
  • 89457cb5c8b296b5fb9a39218b485e1a
  • 6c442d3235f3e60f7a9ea3efca0289ab
  • 32ec97bbc9826ee88697362023ba68ed
  • c3d33ce14a48096e1cd5ce43fa4e307e
  • 27f882a2b795abfae8f33440afcd3ad4
  • 50150db8010ddc87150cb8445f45d270

C2

  • hxxp://www.garrett[.]kz/faq/iSPVXBmuu3nUma5wkdy/
  • hxxp://sdspush.beget[.]tech/connectors/GDSeP6kcWtck20hVy/
  • hxxp://www.agropuno.gob[.]pe/wp-content/f9I32dWeuQcbpRt19mZ7/
  • hxxp://sipo[.]ru/images/aCyHhlS8n0bXBg4BU/
  • hxxp://meteo[.]camera/11/VkU/

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:,

4.3 3 votes
별점 주기
Subscribe
Notify of
guest

0 댓글
Inline Feedbacks
View all comments