Bitter 그룹, 중국 기관을 대상으로 CHM 악성코드 유포

Bitter (T-APT-17) 그룹은 주로 남아시아 정부 기관을 대상으로 하는 공격 그룹으로, 악성코드 유포에 Word 나 Excel 등 Office 문서를 이용해왔다. AhnLab Security Emergency response Center(ASEC) 에서는 최근 Bitter 그룹에서 중국의 특정 기관을 대상으로 CHM 악성코드를 유포한 정황을 다수 확인하였다. CHM 파일은 올해 초부터 다양한 공격 그룹에서 APT 공격에 이용하고 있으며 ASEC 블로그를 통해 여러차례 소개해왔다.

이번 공격에 사용된 CHM 은 이메일의 첨부 파일을 통해 유포되고 있으며, 첨부 파일은 압축된 형태이다. 압축 파일 내부에 CHM 파일이 존재하며 현재까지 확인된 파일명은 아래와 같다.

  • 유포 파일명
    Project Plan 2023 .chm
    Urgent passport enquiry of the following officials.docx.chm
    SUSPECTED      FOREIGN TERRORIST FIGHTERS.chm
    Forensic Evidence on Crime Scene.chm
    Patches updates.chm
    Ticktes.chm
    KC_16.11.chm

CHM 파일 실행 시, 대부분 빈 도움말 창을 생성하지만 일부는 아래와 같이 “중국 중앙통일전선부” 및 “중국 러시아 평화 개발 위원회” 등과 관련된 내용을 확인할 수 있다.  

CHM 실행 시 화면 (1)
CHM 실행 시 화면 (2)

해당 유형의 CHM 에서 확인되는 내부 악성 스크립트는 아래와 같으며, 사용자는 악성 스크립트의 동작 과정을 인지하기 어렵다. 해당 스크립트의 공통적인 특징으로는 바로가기 객체를 실행하는 Click 메서드가 존재하는 스크립트 부분이 난독화되어있는 점이다. 기존에 소개해왔던 CHM 과 달리, 난독화를 통해 정적 진단을 회피하려는 것으로 보인다.

악성 스크립트 유형 (1)
악성 스크립트 유형 (2)
악성 스크립트 유형 (2) – 파워쉘 난독화 해제

스크립트가 동작하게 되면 두 유형 모두 악성 명령어를 실행하는 작업을 생성하게 된다. 악성 명령어는 각각 아래 주소에 접속하여 추가 악성 파일을 실행하게 된다. 해당 주소는 현재 모두 접근이 불가능하지만, 첫번째 주소에서 다운로드되는 것으로 추정되는 MSI 파일을 확인하였다.

  • hxxps://bluelotus.mail-gdrive[.]com/Services.msi
  • hxxps://coauthcn[.]com/hbz.php?id=%computername%

MSI 파일은 실행 시, 정상 EXE 파일과 악성 DLL 을 생성 후 exe 파일을 실행한다. 생성되는 파일은 아래와 같으며, MicrosoftServices.exe 가 실행되면 OLMAPI32.dll 이 로드되는 형태이다. 로드되는 DLL 은 공격자가 제작한 악성 파일로 DLL Side-Loading 기법(T1574.002)을 이용하였다.

DLL Side-Loading 에 사용되는 파일

로드된 악성 DLL 의 기능은 다음과 같다. 먼저, 아래 명령어들을 통해 사용자 정보를 수집 후 “c:\Users\Public\cr.dat” 파일에 저장한다.

  • IP 정보
    cmd.exe /c nslookup myip.opendns.com resolver1.opendns.com>> c:\Users\Public\cr.dat
  • 시스템 정보
    cmd.exe /c systeminfo>> c:\Users\Public\cr.dat
  • 디렉터리 정보
    cmd.exe /c dir “%userprofile%\Documents”>> c:\Users\Public\cr.dat
    cmd.exe /c dir “%userprofile%\Desktop”>> c:\Users\Public\cr.dat
    cmd.exe /c dir “%userprofile%\Downloads”>> c:\Users\Public\cr.dat

이후 지속성을 위해 “Microsoft Update” 명으로 MicrosoftServices.exe 를 실행하는 작업을 생성한다.

작업 스케줄러

추가로, 아래 C2 에 접속을 시도하며 공격자의 명령에 따라 다양한 악성 행위를 수행할 수 있다.

  • msdata.ddns[.]net:443

최근 국내외에서 CHM 파일을 이용한 공격이 증가하고 있으며, 다양한 악성코드에서 사용되고 있다. 사용자는 메일의 발신자를 상세하게 확인해야 하며 출처가 불분명한 파일의 경우 열람을 자제해야 한다. 또한, PC 점검을 주기적으로 진행하고 보안 제품을 항상 최신으로 업데이트 하도록 해야 한다.

[파일 진단]
Trojan/Win.Generic.R560734 (2023.03.04.03)
Dropper/CHM.Generic (2023.03.30.00)
Dropper/MSI.Generic (2023.04.04.03)

[IOC]
8b15c4a11df2deea9ad4699ece085a6f
cce89f4956a5c8b1bec82b21e371645b
a7e8d75eae4f1cb343745d9dd394a154
09a9e1b03f7d7de4340bc5f9e656b798
hxxps://bluelotus.mail-gdrive[.]com/Services.msi
hxxps://coauthcn[.]com/hbz.php?id=%computername%
msdata.ddns[.]net:443

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:,,

0 0 votes
별점 주기
Subscribe
Notify of
guest

0 댓글
Inline Feedbacks
View all comments