AhnLab Security Emergency response Center(ASEC)에서는 입사지원서를 위장한 악성 코드가 꾸준히 유포되고 있음을 확인하였다. 해당 악성코드에는 자사 제품명의 프로세스(V3Lite.exe)를 비롯해 다양한 백신 프로세스의 존재 여부를 확인하는 기능이 존재하며 국내 구인구직 사이트와 유사한 악성 URL을 통해 유포되고 있다. 확인된 다운로드 URL은 다음과 같다.
- hxxps://manage.albamon[.]info/download/20230201good001/%EC<생략>_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr
- hxxps://manage.albamon[.]live/23_05_15_05/%EC%<생략>_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr
- hxxps://manage.albamon[.]live/23_05_22_Fighting_ok/%EC<생략>_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr
위 URL을 통해 다운로드 되는 악성 파일은 화면보호기(.scr) 확장자 및 한글 문서(.hwp) 아이콘을 지니고 있다. 파일 실행 시 [그림3]과 같이 내부 RCDATA에 존재하는 압축 파일 데이터가 %Public%\[6자리 랜덤 문자].zip 으로 저장된다.
이후 %Public%\Documents\Defender\[6자리 랜덤 문자] 폴더에 위 파일을 압축 해제하여 추가 파일을 생성한다. wechatweb.exe의 경우 파일명이 랜덤한 6자리 문자로 생성되며 생성된 파일은 다음과 같다.
| 파일명 | 기능 |
|---|---|
| lim_b_n.hwp | 정상 한글 파일 |
| cmcs21.dll | yga.txt 디코딩 및 실행 |
| wechatweb.exe ([6자리 랜덤 문자].exe) | cmcs21.dll 로드 |
| yga.txt | 인코딩된 악성 데이터 |
이후 %Public%\Music\[6자리 랜덤 문자] 폴더를 생성하고 InternetShortcut 파일을 생성하여 앞서 생성한 정상 한글 파일과 wechatweb.exe([6자리 랜덤 문자].exe)가 실행될 수 있도록 한다. 해당 단축 파일은 실행 후 삭제 된다.
[그림 6]의 바로가기 파일을 통해 실행된 한글문서는 다음과 같이 입사지원서 양식을 갖추고 있는 정상 문서이다.
[그림 7]의 바로가기 파일을 통해 실행된 wechatweb.exe([6자리 랜덤 문자].exe)는 함께 생성된 cmcs21.dll를 로드하여 CMGetCommandString 명의 exports 함수를 실행한다. 로드된 cmcs21.dll은 아래 레지스트리를 등록하여 악성 파일이 지속적으로 실행될 수 있도록 한다.
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\specialyouttg0a
- Data: C:\Users\Public\Documents\Defender\[6자리 랜덤 문자]\[6자리 랜덤 문자].exe(wechatweb.exe)
이후 yga.txt를 읽어 이를 디코딩한 후 해당 데이터를 재귀 실행한 wechatweb.exe([6자리 랜덤 문자].exe) 프로세스에 인젝션함으로써 최종적으로 정보유출 등의 악성 행위가 수행된다. 인젝션된 프로세스는 동일 폴더에 6자리 랜덤 문자].Kinf 를 생성하고 추후 키로깅 데이터를 인코딩하여 저장한다.
또한, 자사 백신으로 보이는 프로세스명(V3Lite.exe) 등 다양한 백신 프로그램 정보도 수집하는데 이때 특정 프로세스가 확인되면 프로세스명이 아닌 아래 [표 2] 우측의 전송 정보를 전달한다.
| 프로세스명 | 전송 정보 |
|---|---|
| V3Lite.exe | V3 |
| AvastSvc.exe | Avast |
| NCleanService.exe | NaverCleaner |
| Nsvmon.npc | NaverVaccine |
| 360rps.exe | 360 |
| ZhuDongFangYu.exe | 360 |
| AYRTSrv.aye Naver-NST.exe KAVsvc.exe Mcshield.exe Rising.exe | – |
이외에 수집되는 정보는 다음과 같다.
| 0$*[ 드라이브 볼륨 일련 번호 ]$*0515$*$*[ 로컬 PC의 IP 정보 ]$*$*[ PC명 ] $* [User 명] $* [ OS 버전 정보 ] $* [ 메모리 사용량 ] MB $* [ 프로세서 정보 ] $* [ 화면 해상도] $*$*$* [ 프로세스 시간 정보 ] $*[ 랜덤값 ] $* [ Foreground Window의 Text ] $* [ 사용중인 백신 프로세스 종류 ] $*2560230837$*zxcv12321$*1111111$* |
해당 악성코드는 정보 수집 뿐만 아니라 공격자 명령에 따라 인터넷 옵션 설정, 스크린 캡처, 서비스 관리, 인터넷 쿠키 데이터 확인 등 다양한 악성 행위를 수행할 수 있다.
- C2 : ggt-send-6187.orange-app[.]vip:6187
입사지원서.scr로 위장한 파일은 아래와 같이 과거부터 꾸준히 유포되고 있다. 최근에는 악성코드 다운로드 URL이 국내 구인/구직 사이트와 유사하게 설정하여 사용자가 악성 사이트임을 알아차리기 어려워 사용자의 각별한 주의가 필요하다.
| 확인 날짜 | 파일명 |
|---|---|
| 2021.02.18 | 배**_입사지원서.scr |
| 2021.05.10 | 이**_입사지원서.scr |
| 2022.01.17 | 송**_입사지원서.scr |
| 2022.04.04 | 이**_입사지원서.scr |
| 2023.01.31 | 이**_입사지원서.hwp.scr |
| 2023.05.15 | 임**_입사지원서.hwp.scr |
[파일 진단]
Dropper/Win.Agent.C5433106 (2023.05.26.02)
Dropper/Win.Agent.C5433107 (2023.05.26.02)
Data/BIN.Encoded (2023.06.01.03)
Trojan/Win32.Agent.C174738 (2016.02.19.09)
[ IOC ]
MD5
15a0e9cd449bce9e37bb1f8693b3c4e0 (scr)
498eda85200257a813dc6731d3324eb6 (scr)
0ddcb876007aee40f0c819ae2381d1b1 (yga.txt)
ccf3fcd6323bcdd09630e69d6ee74197 (yga.txt)
URL & C2
hxxp://ggt-send-6187.orange-app[.]vip:6187
hxxps://manage.albamon[.]info
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보