AhnLab Security Emergency response Center(ASEC) 에서는 Kimsuky 그룹의 APT 공격을 꾸준히 추적해왔으며, 지난 5월 한달간 확인된 내용을 소개하고자 한다. Kimsuky 그룹은 악성코드 유포에 문서 파일을 자주 사용해왔으나, 최근에는 CHM 을 이용한 유포 방식이 다수 확인되고 있다. 또한, 대부분 문서 내용으로 대북 주제를 다루었던 과거와는 다르게 다양한 주제를 이용하여 공격을 시도하고 있다.
(1) 유포 사례
5월 한달간 확인된 CHM 악성코드의 유포 파일명은 아래와 같다. 코인, 세무, 계약서 등 다양한 주제로 유포되는 것을 확인할 수 있으며, 특정 사용자의 개인 정보가 이용되는 것으로 보인다.
| 유포 파일명 |
|---|
| (코인원)고객 거래 확인서.chm |
| 202305050017 발주서 (1).chm |
| 비트왁 신청서.chm |
| 20230412_세무조사 신고안내.chm |
| 2023년 연회비 납입 관련 자료(****).chm |
| 임대차계약서 수정본.chm |
| 납부서.chm |
| 리그 오브 레전드 계정 제재 안내(라이엇 게임즈).chm |
| 2023년 제1회 임시총회 서면결의서.chm |
| 교육비납입증명서.chm |
| CTP 락업 해제 안내(***님).chm |
| 제23권 5호 게재료 관련 자료(***).chm |
| 구미시 종합비즈니스지원센터 입주(갱신)신청서 자료(***).chm |
| 상장심의 자료.chm |
| *** 4대보험 가입증명 자료.chm |
유포 중인 CHM 악성코드는 실행 시, 정상적인 도움말 창을 생성하며 내부 악성 스크립트에 의해 악성 행위가 수행되는 형태이다. 사용자는 정상 파일로 위장한 도움말 화면에 속아 악성 행위를 알아차리기 어렵다. 이때 사용자 PC 에 생성되는 도움말 창은 특정 분야의 종사자를 타겟으로 각각 다른 주제를 이용하여 위장하였으며, 대표적인 사례는 아래와 같다.
[그림 1] 은 세무 신고 관련 사용자를 대상으로 국세청 세무조사 신고 안내문을 위장한 형태이다. 5월은 종합소득세 신고 기간으로 공격자는 해당 특징을 이용한 것으로 보인다.
[그림 2] 는 특정 사용자간의 금융 거래를 위장한 형태이다. 실제 사용자의 계좌번호와 거래 내역을 확인할 수 있으며, 탈취된 개인 정보를 이용한 것으로 보인다.
[그림 3] 은 코인 거래를 위장한 형태이다. 2번 사례와 동일하게 실제 사용자 이메일, 전화번호 등의 개인 정보가 포함되어 있다.
그 외에도 [그림 4] 와 같이 계약서, 증명서, 발주서 등을 확인 할 수 있다. 대표적인 유포 파일은 이와 같으며 특정인의 주민등록등본, 티켓 예매 내역 등 다양한 형태로 유포되고 있어 사용자들의 각별한 주의가 필요하다.
(2) 동작 과정
해당 CHM 유형의 전체적인 동작 과정은 [그림 5] 와 같다. 다운로드되는 다수의 스크립트를 통해 사용자 정보 탈취 및 추가 악성코드 다운로드가 수행 되며, 각 과정은 아래에서 소개한다.
먼저, CHM 내 존재하는 악성 스크립트는 [그림 6] 과 같다. 바로가기 객체를 통해 악성 명령어를 실행하며, 바로가기 객체는 Click 메소드를 통해 호출된다.
- 실행 명령어
cmd, /c start /MIN REG ADD HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v oeirituttvv /t REG_SZ /d “%USERPROFILE%\Links\oeirituttvv.vbs” /f & echo [인코딩된 명령어] > “%USERPROFILE%\Links\oeirituttbb.dat” & echo [인코딩된 명령어] > “%USERPROFILE%\Links\oeirituttvv.dat” & start /MIN certutil -decode “%USERPROFILE%\Links\oeirituttvv.dat” “%USERPROFILE%\Links\oeirituttvv.vbs” & start /MIN certutil -decode “%USERPROFILE%\Links\oeirituttbb.dat” “%USERPROFILE%\Links\oeirituttbb.bat” & start /MIN timeout -t 1 /nobreak & start /MIN CScript “%USERPROFILE%\Links\oeirituttvv.vbs” & start /MIN timeout -t 2 /nobreak & start /MIN CScript “%USERPROFILE%\Links\oeirituttvv.vbs
해당 명령어의 기능은 2개의 인코딩된 명령어를 각각 “%USERPROFILE%\Links\oeirituttbb.dat” 및 “%USERPROFILE%\Links\oeirituttvv.dat” 에 저장하며 certutil 를 통해 디코딩된 명령어를 oeirituttbb.vbs 와 oeirituttvv.bat 파일에 저장한다. 이후 oeirituttbb.vbs 를 실행하고 oeirituttbb.vbs 파일을 RUN 키에 등록하여 지속적으로 실행될 수 있도록 한다.
oeirituttbb.vbs 는 함께 생성된 oeirituttvv.bat 파일을 실행하는 Runner 이다. oeirituttvv.bat 은 curl 을 통해 추가 악성 파일을 다운로드하는 기능을 수행하며, 다운로드되는 파일은 총 2개로 BAT 파일과 CAB 파일이다.
- 다운로드 URL
hxxp://vndjgheruewy1[.]com/tnd/pung03.txt
hxxp://vndjgheruewy1[.]com/tnd/qung03.txt
다운로드된 BAT 파일(pung03.bat)은 CAB 파일(qung03.cab)을 압축 해제 후 temprr03.bat 을 실행한다. CAB 파일 내부에는 총 6개의 스크립트가 존재하며, 각 스크립트에 대한 기능은 [표 2] 와 같다.
| 파일명 | 기능 |
|---|---|
| temprr03.bat | loyes03.bat 실행 |
| loyes03.bat | RunKey 등록 (mnasrt.vbs) loyestemp03.bat 실행 dwpp.vbs 실행 |
| mnasrt.vbs | loyes03.bat 실행 |
| loyestemp03.bat | 사용자 정보 수집 uwpp.vbs 실행 |
| dwpp.vbs | CAB 다운로드 |
| uwpp.vbs | 사용자 정보 업로드 |
해당 스크립트에 의해 수행되는 최종 악성 행위는 사용자 정보 탈취 및 추가 악성 파일 다운로드이다.
| 파일명 | 저장 정보 |
|---|---|
| cudk.txt | 바탕화면 파일 목록 (하위 폴더 포함) |
| ipif.txt | IP 정보 |
| stif.txt | 시스템 정보 |
사용자 정보 탈취 코드는 [그림 9] 와 같으며, 탈취되는 정보는 [표 3] 과 같다. loyestemp03.bat 을 통해 사용자 정보를 수집하며, uwpp.vbs 를 통해 수집된 사용자 정보를 컴퓨터명과 함께 “hxxp://vndjgheruewy1[.]com/uun06/uwpp.php” 로 전송한다.
파일 다운로드 코드는 [그림 10] 과 같다. 공격자는 탈취한 사용자 정보를 확인하여 공격 대상 시스템일 경우에만 추가 악성 파일을 C2 에 업로드하는 것으로 보인다. 공격 대상 시스템일 경우, 공격자는 감염 PC 의 컴퓨터명으로 파일을 업로드한다. 감염된 PC 의 경우 RunKey 에 등록된 스크립트에 의해 지속적으로 다운로드를 시도하게 되며, 추가 파일이 업로드되었을 때 다운로드가 수행된다. 이후 다운로드된 파일을 expand 명령어를 통해 압축 해제 후 실행하는 것으로 보아, 추가 파일 또한 CAB 파일로 추정된다.
- 다운로드 URL
hxxp://vndjgheruewy1[.]com/jun06/dw_%COMPUTERNAME%.dat
이와 같이 공격 대상에 따라 다운로드되는 악성 파일의 유형이 달라질 수 있어 더욱 치밀한 공격이 가능하게 된다. 최근 개인 정보 등을 이용하여 특정 사용자를 타겟으로 하는 악성코드 유포가 증가하고 있으며, APT 공격에 CHM 파일을 이용하는 사례가 빈번히 확인되고 있다. 사용자는 메일의 발신자를 상세하게 확인해야 하며 출처가 불분명한 파일의 경우 열람을 자제해야 한다. 또한, PC 점검을 주기적으로 진행하고 보안 제품을 항상 최신으로 업데이트 하도록 해야 한다.
[파일 진단]
Downloader/CHM.Generic (2023.06.03.00)
Trojan/BAT.Runner (2023.06.17.00)
Trojan/VBS.Runner (2023.06.17.00)
Downloader/BAT.Generic (2023.06.17.00)
Downloader/VBS.Generic (2023.06.17.00)
Infostealer/BAT.Generic (2023.06.17.00)
Infostealer/VBS.Generic (2023.06.17.00)
[행위 진단]
Execution/MDP.Certutil.M4622
Execution/MDP.Kimsuky.M11148 (MDS)
Execution/EDR.Kimsuky.M11115 (EDR)
[IOC]
b5a873ee6b839cbd03789115fc3ae944
9861999409cdbc1f7c4c1079d348697c
7c7b8dd6dd4ba7b443e84287671f0e79
98764ae00cee9f2cc87530601c159387
d62dcb76fa0fb4b725ea9c8643874ae7
e9e56ee78e019e09d5dbe0bb373adf09
ef58a1326b98feccc90c4d37a8ce2fe2
ae6fdb8945991b587ab790c2121345ce
075160d6c8d82b96d1ae7893761695a6
e5b0430290dc71193b7ea2fc829a9910
hxxp://vndjgheruewy1[.]com/tnd/pung03.txt
hxxp://vndjgheruewy1[.]com/tnd/qung03.txt
hxxp://vndjgheruewy1[.]com/uun06/uwpp.php
hxxp://vndjgheruewy1[.]com/jun06/dw_%COMPUTERNAME%.dat
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보