Tonto 그룹은 주로 아시아 국가를 대상으로 하는 공격 그룹으로, Bisonal 계열의 악성코드를 유포해왔다. AhnLab Security Emergency response Center(ASEC) 에서는 대한민국 교육, 건설, 외교, 정치 분야와 관련된 기관을 대상으로한 Tonto 그룹의 CHM 악성코드 공격을 추적해왔으며, 최근에는 최종적으로 실행되는 악성 행위에 Anti-Virus 제품 관련 파일이 이용되는 정황을 포착하였다.
Tonto 그룹의 CHM 악성코드 국내 유포는 지난 2021년부터 확인되었으며, 진단 우회를 위해 다양한 형태로 변형되고 있다. 최근에 확인된 유형의 전체적인 동작 과정은 [그림 1] 과 같으며, ReVBShell 을 통해 공격자의 명령을 받는 과정까지는 기존과 유사하지만 이후 다운로드되는 최종 악성코드의 유형 및 동작 과정이 조금씩 변경되고 있다. 각 과정에 대한 설명은 아래에서 소개한다.
CHM 실행 시 동작하는 악성 스크립트는 [그림 2] 와 같다. CHM 파일을 디컴파일하는 과정은 기존 유형과 동일하며, 디컴파일되어 생성된 정상 프로그램(PresentationSettings.exe)을 RUN 키에 등록하는 차이점이 존재한다. RUN 키에 등록된 정상 프로그램은 PC 가 다시 시작될 경우 실행되며, DLL Side Loading(T1574.002) 기법을 통해 함께 생성된 악성 DLL(slc.dll) 이 로드된다.
| 유포 파일명 | 통일부 남북경협관련 법인 연락처_Ver2.1.chm |
| 정상 프로그램명 | PresentationSettings.exe |
| 악성 DLL 명 (DLL Side Loading) | slc.dll |
로드된 악성 DLL 은 %TEMP% 경로에 VBE 파일을 생성 후 실행하며, 디코딩된 VBE 는 ReVBShell 이다. 해당 ReVBShell 의 C2 는 아래와 같으며, 공격자의 명령에 따라 다양한 악성 행위를 수행하게 되는데 자사 ASD(AhnLab Smart Defense) 인프라를 통해 이후 악성 행위 로그가 확인되었다.
- C2
hairouni.serveblog[.]net:8080
[그림 3] 은 2022년 4월에 확인된 추가 로그이며, 아래 ASEC 블로그를 통해 관련 내용을 소개했다.
[그림 4] 는 최근 유포된 CHM 악성코드에 감염된 PC 에서 발생한 추가 로그로, 다운로드 URL 의 형태가 2022년 4월 로그와 유사한 것을 알 수 있으며 다운로드 경로 또한 %SystemRoot%\Task\ 폴더로 동일하다. 해당 다운로드 행위는 모두 ReVBShell 을 통해 공격자 명령을 받아 수행되는 것으로 추정된다.
- 다운로드 URL
hxxps://92.38.135[.]212/fuat/HimTraylcon.exe (2022년 4월)
hxxp://45.133.194[.]135:8080/fuat/KCaseAgent64.exe (2023년 4월)
2022년 4월에 다운로드된 파일은 백도어 악성코드였으며, 이번에 다운로드된 파일은 Avast Software 의 구성 파일인 정상 파일(wsc_proxy.exe) 로 확인되었다.
wsc_proxy.exe 의 기능은 [그림 5] 가 전부이며, wsc.dll 을 로드 후 “_run@4” 함수를 실행한다. 공격자는 해당 특징을 이용하여 DLL Side Loading 기법을 통해 악성 DLL 을 로드하는 것으로 추정된다.
추가로, [그림 6] 과 같이 자사 인프라를 통해 감염된 PC 에서 동일한 경로(%SystemRoot%\Task\)에 wsc.dll 명의 파일이 생성된 진단 로그가 확인되었다. Avast Software 의 정상 파일들 경우 일반적으로 “%ProgramFiles%\Avast Software\” 경로에 생성되는 것으로 보아 공격자에 의해 변조된 악성 DLL 이 생성되었을 것으로 보인다. 최종적으로 정상 파일(wsc_proxy.exe) 을 통해 악성 DLL(wsc.dll) 이 로드되어 추가 악성 행위를 수행할 수 있게 된다.
지난 2022년 11월에 유포된 CHM 에서는 [그림 7] 과 같이 Bisonal 관련 악성코드가 확인되며, 해당 유형의 CHM 악성코드가 Tonto 그룹에 의해 유포되고 있는 것으로 보인다.
Tonto 그룹은 더욱 치밀한 공격을 위해 정상 소프트웨어를 이용하는 등 다양한 방식으로 변형되고 있으며 CHM 을 이용한 유포가 과거보다 증가하고 있다. 사용자는 메일의 발신자를 상세하게 확인해야 하며 출처가 불분명한 파일의 경우 열람을 자제해야 한다. 또한, PC 점검을 주기적으로 진행하고 보안 제품을 항상 최신으로 업데이트 하도록 해야 한다.
[파일 진단]
Dropper/HTML.Generic.SC187758 (2023.04.12.02)
Trojan/Win.Agent.C5409945 (2023.04.12.02)
Backdoor/VBS.Generic.SC187759 (2023.04.12.02)
[IOC]
59f7a3fe0453ca6d27ba3abe78930fdf
fe1161885005ac85f89accf703ce27bb
d5e6dc253a5584b178ae3c758120da4d
hairouni.serveblog[.]net:8080
hxxp://45.133.194[.]135:8080/fuat/KCaseAgent64.exe
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보