AhnLab Security Emergency response Center(ASEC) 에서는 국세청을 사칭한 악성 LNK 파일이 국내 유포되고 있는 정황을 확인하였다. LNK 를 이용한 유포 방식은 과거에도 사용되던 방식으로 최근 국내 사용자를 대상으로 한 유포가 다수 확인되고 있다.
최근 확인된 악성 LNK 파일은 이메일에 첨부된 URL 을 통해 유포되는 것으로 추정된다. 자사 인프라를 통해 확인된 URL 은 아래와 같으며, “종합소득세 신고관련 해명자료 제출 안내.zip” 명의 압축 파일이 다운로드된다. 분석 당시에는 다운로드된 압축 파일 내 악성 LNK 파일과 정상 한글 문서 2개가 존재했다. 현재는 해당 URL 에서 다운로드되는 압축 파일 내 정상 한글 문서 3개만 존재하는 것으로 보아 공격자는 짧은 시간동안만 악성 파일을 유포하여 이후 분석 및 추적을 어렵게 하는 것으로 보인다.
- 다운로드 URL
hxxps://file.gdrive001[.]com/read/?cu=jaebonghouse&so=종합소득세%20신고관련%20해명자료%20제출%20안내.zip
압축 파일 내 존재하는 “국세청 종합소득세 해명자료 제출 안내.lnk” 명의 악성 LNK 파일은 약 300MB 크기의 더미 데이터가 붙어있는 형태이며 악성 파워쉘 명령어가 포함되어 있다.
파워쉘 명령어 기능으로는, 먼저 LNK 파일 내부에 존재하는 정상 한글 문서를 “국세청 종합소득세 해명자료 제출 안내.hwp” 명으로 생성 후 실행한다. 아래는 생성되는 정상 한글 문서의 내용이다. 국세청을 사칭하여 세금 관련 안내문으로 위장하였으며 사용자는 악성 LNK 파일을 실행 후 정상 한글 문서가 실행되었다고 착각할 수 있다.
이후 동일하게 LNK 파일 내부에 존재하는 압축 파일을 “%Public%\02641.zip” 경로에 생성한다. 생성된 압축 파일을 압축 해제 후 start.vbs 파일을 실행하며 LNK 파일과 압축 파일은 삭제한다. 압축 해제 후 생성되는 파일은 아래와 같으며, 각 파일의 기능은 [표 1] 과 같다.
| 파일명 | 기능 |
|---|---|
| start.vbs | 74116308.bat 실행 |
| 74116308.bat | RunKey 등록 (start.vbs) 02619992.bat 실행 (다운로드 기능) 86856980.bat 실행 (정보탈취 기능) 20191362.bat 을 통해 CAB 파일 다운로드 |
| 02619992.bat | 20191362.bat 을 통해 ZIP 파일 다운로드 unzip.exe 를 통해 압축 해제 후 rundll32.exe 실행 |
| 86856980.bat | 사용자 정보 수집 53844252.bat 실행 |
| 20191362.bat | 파일 다운로드 |
| 53844252.bat | 사용자 정보 업로드 |
| unzip.exe | ZIP 파일 압축 해제 |
해당 스크립트에 의해 수행되는 최종 악성 행위는 사용자 정보 탈취 및 추가 악성 파일 다운로드이다. 탈취되는 사용자 정보는 아래와 같으며, 해당 정보는 “hxxp://filehost001.com/upload.php” 로 전송된다.
- 탈취 정보
downloads 폴더 파일 목록
documents 폴더 파일 목록
desktop 폴더 파일 목록
IP 정보
실행 중인 프로세스 목록
시스템 정보
다운로드되는 추가 파일은 총 2개로, ZIP 파일과 CAB 파일이 있다. 먼저, ZIP 파일은 unzip.exe 를 통해 압축 해제하며 압축 해제 시, 패스워드(a) 가 필요하다. 이후 생성된 파일을 rundll32.exe 를 통해 로드한다.
- 다운로드 URL
hxxps://file.gdrive001[.]com/read/get.php?cu=ln3&so=xu6502
CAB 파일은 expand 명령어를 통해 압축 해제하며 이후 생성되는 temprun.bat 파일을 실행한다.
- 다운로드 URL
hxxp://filehost001[.]com/list.php?f=%COMPUTERNAME%.txt
현재 두개의 URL 모두 접속이 불가하여 추가 다운로드되는 파일은 확인하지 못했다. 자사 인프라를 통해 확인된 최종 실행 악성코드는 Qasar RAT, Amadey 가 확인되며, 공격자가 업로드하는 파일에 따라 다양한 악성 파일이 다운로드될 수 있다.
앞에서 소개한 국세청을 사칭한 LNK 외에도 아래와 같이 다양한 주제를 이용하여 악성 LNK 가 유포되고 있어 주의가 필요하다.
- 유포 파일명
230827- 협의회 참여단체 현황.xlsx.lnk
202308 통일부조직개편 설명자료.pdf.lnk
2023-2-주차등록신청서-학생용.hwp.lnk
수강신청정정원.hwp.lnk
securityMail.html.lnk
최근 국내 사용자를 대상으로 악성 LNK 파일의 유포가 증가하고 있으며, 다운로드되는 파일에 따라 추가 피해가 발생할 수 있다. 사용자는 메일의 발신자를 상세하게 확인해야 하며 출처가 불분명한 파일의 경우 열람을 자제해야 한다. 또한, PC 점검을 주기적으로 진행하고 보안 제품을 항상 최신으로 업데이트 하도록 해야 한다.
[파일 진단]
Downloader/LNK.Generic (2023.09.13.02)
Infostealer/BAT.Generic.S2319 (2023.09.11.02)
Downloader/BAT.Generic.SC192403 (2023.09.13.03)
Downloader/BAT.Generic.SC192404 (2023.09.13.03)
Downloader/BAT.Generic.SC192405 (2023.09.13.03)
Trojan/BAT.Runner.SC192407 (2023.09.13.03)
[행위 진단]
Fileless/EDR.Powershell.M11335
[IOC]
560e5977e5e5ce077adc9478cd93c2ac
7725d117d0bd0a7a5fb8ef101b019415
2d0747533d4d3f138481c4c4cda9ea1e
9c3eef28b4418c40a7071ddcba17f0e8
20f0e8362782c7451993e579336f2f3e
b5f698fb96835d155fbcc1ccd4f4b520
ca11ba5e641156ff72400e7f5e103aee
hxxps://file.gdrive001[.]com/read/?cu=jaebonghouse&so=종합소득세%20신고관련%20해명자료%20제출%20안내.zip
hxxps://file.gdrive001[.]com/read/get.php?cu=ln3&so=xu6502
hxxp://filehost001[.]com/list.php?f=%COMPUTERNAME%.txt
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
[…] 악성 링크 파일(LNK)” [9], “국세청을 사칭한 악성 LNK 유포” [10], “기업 홍보물 제작을 위장한 악성 LNK 유포” [11] 등의 블로그를 […]