AhnLab Security Emergency response Center(ASEC) 에서는 Qakbot 악성코드의 다양한 유포 방식에 대해 소개해왔으며, 지난 2월에는 원노트(OneNote) 로 유포되는 유형을 소개했었다. 최근 OnetNote 로 유포되는 Qakbot 이 다시 확인되었으며, 그 과정에 윈도우 도움말 파일(CHM) 이 이용되는 것을 포착하였다.

원노트 파일 실행 시, 아래와 같이 Microsoft Azure 이미지와 함께 Open 버튼을 클릭하도록 유도하는 것을 확인할 수 있다. 해당 버튼 위치에는 ISO 파일이 숨어 있어, 사용자가 Open 버튼을 클릭할 경우 임시 경로에 ISO 파일이 생성되며 마운트된다.

ISO 파일 내에는 CHM 파일이 존재하며, README 파일로 위장하여 사용자의 실행을 유도한다.

CHM 파일 실행 시, 네트워크 연결 구성과 관련된 정상적인 도움말 화면이 생성되어 사용자는 악성 행위를 알아차리기 어렵다.

이때 사용자 모르게 실행되는 악성 스크립트는 아래와 같다. CMD 를 통해 악성 파워쉘 명령어를 실행하며 파워쉘 명령어는 인코딩 형태이다. 해당 명령어는 기존 CHM 악성코드와 동일하게 Click 메소드를 통해 실행된다.

디코딩된 파워쉘 명령어는 아래와 같다. 다수의 URL 에서 추가 악성 파일을 다운로드 시도하며, %TEMP%\antepredicamentPersecutory.tuners 경로에 저장한다. 이후 rundll32 를 통해 실행하는 것으로 보아 DLL 파일을 다운로드하는 것으로 추정된다.

- 다운로드 URL
hxxps://nayadofoundation[.]org/wXaKm/SQ2wfto2vosn
hxxps://citytech-solutions[.]com/6Mh1k/OJMPf
hxxps://zainco[.]net/OdOU/9IAsdunbnH
hxxps://gsscorporationltd[.]com/okSfj/rAVykcQiX
hxxps://mrcrizquna[.]com/L7ccN/kz5AeBZ6
hxxps://hotellosmirtos[.]com/sjn/uhidwrQ9Hz
hxxps://carladvogadatributaria[.]com/tvnq9/i8zBwKW
hxxps://erg-eg[.]com/ocmb/xvjmmvS
해당 명령어는 지난 4월 PDF 를 통해 유포되었던 Qakbot 에서 사용된 명령어와 유사한 형태로 확인된다. 현재 다운로드 URL 에 연결이 되지 않지만, 내/외부 인프라를 통해 연결이 유효한 당시에 해당 URL에서 Qakbot 바이너리를 유포한 정황을 확인할 수 있었다.

최근 원노트를 악용한 악성코드 유포가 증가하고 있으며, 공격자는 다양한 포맷의 파일을 공격에 이용하고 있다. 사용자는 출처가 불분명한 이메일이나 원노트의 열람에 있어서 각별한 주의가 필요하다. 현재 V3 에서는 해당 악성코드를 다음과 같이 진단하고 있다.
[파일 진단]
Dropper/MSOffice.Generic (2023.04.24.03)
Downloader/CHM.Generic (2023.04.24.03)
[IOC]
dffd7026f7508ae69c1b23ebd33ed615
2ce926649092b4aa642ba6ed1fe0f191
hxxps://nayadofoundation[.]org/wXaKm/SQ2wfto2vosn
hxxps://citytech-solutions[.]com/6Mh1k/OJMPf
hxxps://zainco[.]net/OdOU/9IAsdunbnH
hxxps://gsscorporationltd[.]com/okSfj/rAVykcQiX
hxxps://mrcrizquna[.]com/L7ccN/kz5AeBZ6
hxxps://hotellosmirtos[.]com/sjn/uhidwrQ9Hz
hxxps://carladvogadatributaria[.]com/tvnq9/i8zBwKW
hxxps://erg-eg[.]com/ocmb/xvjmmvS
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보