AhnLab Security Emergency response Center(ASEC)은 최근 코인 거래소 및 투자 관련 내용으로 위장한 악성코드가 유포되고 있는 것을 확인하였다. 악성코드는 실행 파일 및 워드 문서 형식으로 유포되고 있으며, 악성코드에서 사용하는 User-Agent 명으로 보아 Kimsuky 그룹에서 제작한 것으로 추정된다. 확인된 파일명은 다음과 같다.
| 날짜 | 파일명 |
|---|---|
| 07.17 | 20230717_030190045911.pdf .exe |
| 07.28 | 0728-위**월렛 자금 자동 인출.docx.exe (추정) |
| 07.28 | 230728 위**팀 – 월렛해킹 공통점.docx.exe (추정) |
| 07.28 | 위**팀-클라우드사용금지.doc |
실행 파일
[표 1]에서 확인된 실행 파일은 워드 문서 및 PDF 아이콘으로 위장하여 정상 문서처럼 보이도록 하였다.
위 악성 실행 파일은 SFX (Self-extracting archive)형식으로 내부에 정상 문서 파일을 포함하고 있다. 따라서 파일 실행 시 아래의 정상 문서 파일이 생성된다.
각 문서 파일은 자산 관리 및 코인 거래소를 사칭한 내용을 포함하고 있다. 문서 내용은 다음과 같다.
각 실행 파일의 archive content에는 [그림 2]에서 확인된 정상 문서와 더불어 특정 URL에 접속하는 명령어가 확인된다.
따라서 파일 실행 시 정상 문서를 생성하고 mshta.exe를 활용해 악성 URL에 존재하는 스크립트 코드를 실행한다. 분석 당시 위 URL에 접속이 불가하여 정확한 행위는 확인이 불가하다. 확인된 악성 URL은 다음과 같다.
- hxxps://partner24[.]kr/mokozy/hope/biz.php
- hxxps://partner24[.]kr/mokozy/hope/doc1.php
- hxxps://partner24[.]kr/mokozy/hope/doc2.php
문서 파일
공격자는 앞서 설명한 SFX 형식의 실행 파일 외 VBA 매크로가 포함된 워드 문서도 함께 유포하고 있는 것으로 보인다. 확인된 문서 파일 역시 악성 실행 파일과 동일한 코인 거래소를 위장한 파일명을 지니고 있다.
문서 파일 실행 시 다음과 같이 본문 내용의 글자 색을 회색으로 설정하여 사용자가 콘텐츠 사용 버튼을 클릭하도록 유도한다. 콘텐츠 사용 버튼 클릭 시 문서에 포함된 VBA 매크로 코드가 실행되어 본문의 글자 색이 [그림 8]과 같이 검정색으로 변경되어 본문 내용을 확인 할 수 있다.
문서에 포함된 VBA 매크로 실행 시 %windir%\system32 폴더에 존재하는 정상 wscript.exe를 %appdata% 폴더에 word.exe 명으로 복사한다. 이후 hxxps://partner24[.]kr/mokozy/hope/kk.php 에서 Base64로 인코딩된 추가 스크립트를 다운로드 하여 디코딩 한 후 %USERPROFILE% 폴더에 set.sl 명으로 저장한다. 생성된 set.sl은 아래 명령어를 통해 실행된다.
- cmd /c %appdata%\word.exe //e:vbscript //b %USERPROFILE%\set.sl
분석 당시 hxxps://partner24[.]kr/mokozy/hope/kk.php에서 다운로드 된 코드에는 특별한 악성 행위가 확인되지 않았지만 공격자의 의도에 따라 다양한 악성 명령어가 실행될 수 있다. 분석 당시 set.sl에 저장된 코드는 다음과 같다.
해당 악성코드는 [그림 9]의 매크로 코드에서 User-Agent로 Chrome이 아닌 Chnome 를 사용하는 것으로 보아 Kimsuky 그룹에서 제작한 것으로 추정된다(1). 또한, 실행 파일과 문서 파일 모두 파일명에 사용한 코인 거래소명과 접속하는 C2 주소가 동일한 것으로 보아 실행 파일 역시 같은 공격 그룹에서 제작한 것으로 보인다.
현재 C2에 접속되지 않아 최종적으로 실행되는 스크립트는 알 수 없지만 사용자 정보 유출 및 추가 악성코드 다운로드 등 다양한 악성 행위가 수행될 수 있어 사용자의 각별한 주의가 필요하다.
[파일 진단]
Downloader/DOC.Generic (2023.07.28.03)
Downloader/Win.Agent (2023.07.31.03)
[안랩 제품별 행위 진단]
V3 : Execution/MDP.Wscript.M4703
V3 : Execution/MDP.Wscript.M11242
EDR : Execution/EDR.Wscript.M11243
EDR : Execution/EDR.Mshta.M11245
MDS : Execution/MDP.Mshta.M4704
MDS : Execution/MDP.Mshta.M11244
[IOC]
8a5fd1e9c9841ff0253b2a6f1e533d0e (exe)
002105e21f1bddf68e59743c440e416a (exe)
17daf3ea7b80ee95792d4b3332a3390d (exe)
b6614471ebf288689d33808c376540e1 (word)
hxxps://partner24[.]kr/mokozy/hope/biz.php
hxxps://partner24[.]kr/mokozy/hope/doc1.php
hxxps://partner24[.]kr/mokozy/hope/doc2.php
hxxps://partner24[.]kr/mokozy/hope/kk.php
[References]
(1) https://securelist.com/kimsukys-golddragon-cluster-and-its-c2-operations/107258/
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보