OneNote 와 CHM 을 통해 유포 중인 Qakbot 악성코드

AhnLab Security Emergency response Center(ASEC) 에서는 Qakbot 악성코드의 다양한 유포 방식에 대해 소개해왔으며, 지난 2월에는 원노트(OneNote) 로 유포되는 유형을 소개했었다. 최근 OnetNote 로 유포되는 Qakbot 이 다시 확인되었으며, 그 과정에 윈도우 도움말 파일(CHM) 이 이용되는 것을 포착하였다.

원노트(OneNote)로 유포 중인 Qakbot 악성코드 – ASEC BLOG

안랩 ASEC은 지난 1월 마이크로소프트(MS) 원노트(OneNote)를 통해 유포되는 악성코드 분석 보고서를 공개하였다. 보고서에서 언급하였듯이, 최근 들어 Qakbot과 같은 상업용(Commodity) 악성코드들이 MS 오피스 매크로를 사용하는 기존의 유포 방식을 사용하지 않고, 원노트를 이용하여 악성코드를 실행하는 사례가 점차 많아지고 있다. 지난 02/01에 원노트를 통해 유포된 Qakbot 악성코드의 유포 사례를 보면 공격자는 [그림 2]와 같이 아웃룩의 첨부 파일 형태로 원노트 악성코드를 유포하였다. 사용자가 첨부파일을…

원노트 파일 실행 시, 아래와 같이 Microsoft Azure 이미지와 함께 Open 버튼을 클릭하도록 유도하는 것을 확인할 수 있다. 해당 버튼 위치에는 ISO 파일이 숨어 있어, 사용자가 Open 버튼을 클릭할 경우 임시 경로에 ISO 파일이 생성되며 마운트된다.

ISO 파일 내에는 CHM 파일이 존재하며, README 파일로 위장하여 사용자의 실행을 유도한다.

CHM 파일 실행 시, 네트워크 연결 구성과 관련된 정상적인 도움말 화면이 생성되어 사용자는 악성 행위를 알아차리기 어렵다.

이때 사용자 모르게 실행되는 악성 스크립트는 아래와 같다. CMD 를 통해 악성 파워쉘 명령어를 실행하며 파워쉘 명령어는 인코딩 형태이다. 해당 명령어는 기존 CHM 악성코드와 동일하게 Click 메소드를 통해 실행된다.

디코딩된 파워쉘 명령어는 아래와 같다. 다수의 URL 에서 추가 악성 파일을 다운로드 시도하며, %TEMP%\antepredicamentPersecutory.tuners 경로에 저장한다. 이후 rundll32 를 통해 실행하는 것으로 보아 DLL 파일을 다운로드하는 것으로 추정된다.

• 다운로드 URL
  hxxps://nayadofoundation[.]org/wXaKm/SQ2wfto2vosn
  hxxps://citytech-solutions[.]com/6Mh1k/OJMPf
  hxxps://zainco[.]net/OdOU/9IAsdunbnH
  hxxps://gsscorporationltd[.]com/okSfj/rAVykcQiX
  hxxps://mrcrizquna[.]com/L7ccN/kz5AeBZ6
  hxxps://hotellosmirtos[.]com/sjn/uhidwrQ9Hz
  hxxps://carladvogadatributaria[.]com/tvnq9/i8zBwKW
  hxxps://erg-eg[.]com/ocmb/xvjmmvS

해당 명령어는 지난 4월 PDF 를 통해 유포되었던 Qakbot 에서 사용된 명령어와 유사한 형태로 확인된다. 현재 다운로드 URL 에 연결이 되지 않지만, 내/외부 인프라를 통해 연결이 유효한 당시에 해당 URL에서 Qakbot 바이너리를 유포한 정황을 확인할 수 있었다.

이메일 하이재킹을 통해 Qakbot 악성코드 국내 유포 중 – ASEC BLOG

AhnLab Security Emergency response Center(ASEC)에서는 기존의 이메일을 이용(회신/전달)하는 형태로 악성 PDF파일을 첨부하여 Qakbot 악성코드가 유포되는 정황을 확인하였다.뱅킹형 악성코드로 알려진 Qakbot은 다양한 매개체를 통해 지속적으로 유포되고 있는 악성코드 중 하나이며, ASEC에서는 기존에도 해당 악성코드의 유포동향을 소개해 온 바 있다. 유포되는 이메일은 다음과 같이 정상 메일을 가로채 악성 파일을 첨부하여 사용자에게 회신한 형태를 띄고 있는데, 수신대상으로는 기존메일의 수신/참…

최근 원노트를 악용한 악성코드 유포가 증가하고 있으며, 공격자는 다양한 포맷의 파일을 공격에 이용하고 있다. 사용자는 출처가 불분명한 이메일이나 원노트의 열람에 있어서 각별한 주의가 필요하다. 현재 V3 에서는 해당 악성코드를 다음과 같이 진단하고 있다.

[파일 진단]
Dropper/MSOffice.Generic (2023.04.24.03)
Downloader/CHM.Generic (2023.04.24.03)

 

MD5

2ce926649092b4aa642ba6ed1fe0f191

dffd7026f7508ae69c1b23ebd33ed615

URL

https[:]//carladvogadatributaria[.]com/tvnq9/i8zBwKW

https[:]//citytech-solutions[.]com/6Mh1k/OJMPf

https[:]//erg-eg[.]com/ocmb/xvjmmvS

https[:]//gsscorporationltd[.]com/okSfj/rAVykcQiX

https[:]//hotellosmirtos[.]com/sjn/uhidwrQ9Hz