Posted By eastston , 2023년 5월 25일

한컴 오피스 문서파일로 위장하여 유포중인 악성코드 증적 추적(RedEyes)

AhnLab Security Emergency response Center(ASEC)에서는 한컴 오피스 문서파일로 위장한 악성코드 유포 정황을 확인 하였다. 유포되는 악성코드 이름은 “누가, 무엇이 세계를 위협하는가 (칼럼).exe” 이며, 한컴 오피스 문서파일로 속이기 위해 아이콘을 한컴 오피스 문서파일과 유사한 형태로 제작되었다. 해당 파일은 압축파일로 압축되어 있으며, 압축 해제시 36,466,238 byte의 비교적 큰 용량의 파일이다. 안랩 EDR(Endpoint Detection and Response)의 증적 자료를 통해 이와 같은 공격 기법에 대한 탐지가 가능하며, 관련 침해 사고 조사에 필요한 데이터를 확인할 수 있다.

[그림 1] 실행 흐름 다이어그램

[그림1] 은 악성코드의 아이콘과 전체적인 실행 그림이다. 악성코드가 실행되어 어떤 프로세스를 사용하는지 한눈에 볼 수 있다.

[그림 2] 악성코드 생성 파일 증적 데이터

[그림 3] 악성코드 주요 증적 데이터

[그림 3] 한글 파일 생성, 자가 삭제 증적 데이터[그림 3] 한글 파일 생성, 자가 삭제 증적 데이터[그림 2]와 [그림 3]은 악성코드의 전체 흐름 중 주요 행위에 대한 증적 데이터이다. [그림 2] 에서 악성코드는 정상파일처럼 보이기 위해 AppData 경로에 onedrivenew 라는 폴더를 생성하고, onedrivenew.exe 라는 파일명으로 자가 복제하는 증적이 확인 가능하다. [그림 3]에서 악성코드가 실행된 경로와 동일한 경로에 동일한 파일명의 정상 한컴 오피스 파일을 생성하고 실행하는 증적을 확인할 수 있다. 악성코드는 윈도우의 정상 프로세스인 mstsc.exe에 인젝션되어 실행되며, 원본 파일은 cmd 명령어를 이용해 삭제한다.

[그림 4] 윈도우 정상 프로세스 mstsc.exe의 증적 데이터

[그림 4]는 악성코드가 인젝션되어 실행되는 mstsc.exe 프로세스의 증적 데이터이다. 악성코드는 시스템이 재부팅 되더라도 실행 되기 위해 Run 하위에 onedrivenew 라는 이름으로 악성코드 파일을 등록한다. 이후 schtasks.exe 명령어를 이용해 OneDriveOp 이름으로 특정 URL에 60분 마다 윈도우즈 정상 파일인 mshta.exe를 이용하여 접속하도록 작업 스케줄러에 등록한다. 작업 스케줄러에 등록된 URL은 정상 홈페이지이지만, 웹쉘이 삽입되어 있다. 삽입된 웹쉘은 AhnLab Thread Intelligence Platform 에 게시된 “특정 홈페이지 제작업체가 제작한 홈페이지 타겟 공격(Red Eyes, APT37)” 과 동일한 웹쉘로 확인되었다.

타겟 공격을 일반 사용자가 대응하기엔 어려운 요소들이 있다. 이러한 위협에 대해 노출 되더라도 안랩 EDR(Endpoint Detection and Response)의 증적 자료를 통해 이를 대응할 수 있다.

[파일 진단]
– Trojan/Win.Agent.R580958 (2023.05.24.02)

[IOC]
MD5
– 93fc0fb9b87a00b38f18c1cc4ee02e50

C2
– hxxp://ingarchi.com/bbs/data/culture
– hxxp://ingarchi.com/bbs/data/culture/getcfg.php

행위 정보 탐지 및 분석을 통한 엔드포인트 가시성을 제공하고 위협을 능동적으로 추적하는 AhnLab EDR에 대한 자세한 정보는 안랩닷컴에서 확인이 가능하다.