기업 홍보물 제작을 위장한 악성 LNK 유포

최근 AhnLab Security Emergency response Center(ASEC) 에서는 이메일 등의 수단을 통해 금융 및 블록체인 기업 종사자를 대상으로 악성 LNK 파일이 유포되는 정황을 확인하였다.

악성 LNK 파일은 URL 을 통해 유포되며, 자사 인프라를 통해 확인된 URL은 아래와 같다.

  • 다운로드 URL
    hxxps://file.lgclouds001[.]com/read/?[이메일 계정]&zw=블록체인%20기업%20솔루션%20편람%20제작.zip
    hxxps://file.ssdrive001[.]com/read/?[이메일 계정]&zw=블록체인%20기업%20솔루션%20편람%20제작.zip

다운로드되는 파일은 “블록체인 기업 솔루션 편람 제작.zip” 명의 압축파일로, 공격자는 해당 URL에 악성파일과 정상파일을 번갈아 올려놓으며 분석에 혼동을 주었다.

악성 파일 다운로드
정상 파일 다운로드

악성 파일이 다운로드 될 경우, 압축 파일 내 DOCX 파일 대신 악성 LNK 파일이 포함되어 있다. 악성 LNK 파일은 아래 이미지와 같이 보여지는데, LNK 파일의 특성상 파일명 뒤에 확장자가 붙지 않으며 아이콘에 포함된 바로가기 화살표 이미지를 제외하면 일반 docx 문서파일과 구별하기 힘들다.

LNK 파일의 외형

해당 LNK 파일은 300MB 가량의 비정상적으로 큰 크기를 가지며, 내부에 난독화 된 PowerShell 명령어가 포함되어 있다. 난독화 해제된 PowerShell 스크립트는 다음과 같다.

난독화 해제된 PowerShell 스크립트

해당 PowerShell 스크립트는 자기 자신(LNK)의 내부에 포함된 binary를 xor연산하여 아래 파일을 생성한다.

  • {Current path}\1._작성양식.docx (정상)
  • %public%\qDLgNa.cab (악성)

이후 정상 문서파일(1._작성양식.docx )을 실행하는 행위가 존재하는데, 아래 이미지와 같이 기업 홍보물 제작을 위한 정보를 입력하도록 유도하여 사용자 입장에서 문서가 정상적으로 열린 것처럼 위장한다.

정상 문서 파일 (1._작성양식.docx)

생성된 파일 중 cab 파일 내부에는 추가 악성 스크립트(vbs, bat)가 존재하며, “%public%\documents\” 폴더에 압축 해제 후 start.vbs를 실행한다. 이후 흔적을 지우기 위해 자기 자신(LNK)과 .cab 파일을 삭제한다.

다수의 악성 BAT 스크립트가 포함된 CAB 파일 (qDLgNa.cab)

start.vbs 파일은 단순히 66022014.bat 배치파일을 실행하는 역할만 수행한다

start.vbs

이후 여러 기능이 각각의 bat 파일로 나뉘어져 실행되는데, 각 bat파일들의 관계에 대한 간략한 도식도는 다음과 같다.

BAT 스크립트간의 관계를 나타낸 도식도

66022014.bat 파일은 다음과 같은 행위를 수행한다.

1. 자동 실행 등록 : HKCU\Software\Microsoft\Windows\CurrentVersion\Run 경로에 자신을 등록함으로써 지속성 유지
2. 07915735.bat 실행 (추가 파일 다운로드)
3. 73505966.bat 실행 (시스템 정보 수집)
4. 추가 파일 다운로드 : hxxp://accwebcloud[.]com/list.php?f=%COMPUTERNAME%.txt&r={Key} 현재 C2 접속 불가
5. 압축 해제 후 temprun.bat 실행

66022014.bat

07915735.bat 파일은 다음과 같은 행위를 수행한다.

1. 추가 파일 다운로드 : hxxps://file.lgclouds001[.]com/read/get.php?ra={string}&r={key} 현재 C2 접속 불가
2. 압축 해제 : 비밀번호 “a”
3. 내부에 포함된 1.bat 파일 실행

07915735.bat

73505966.bat 파일은 다음과 같은 행위를 수행한다.

1. 시스템 정보 수집
    – %username%\downloads 경로에 존재하는 파일 목록
    – %username%\documents 경로에 존재하는 파일 목록
    – %username%\desktop 경로에 존재하는 파일 목록
    – 현재 실행중인 프로세스 목록
    – 컴퓨터 정보
2. 05210957.bat 파일을 통해 C2로 전송 : hxxp://accwebcloud[.]com/upload.php

73505966.bat

특히, 추가 파일을 다운로드할 때 동작하는 88730413.bat은 내부에 PowerShell 스크립트가 존재하며, Argument로 받은 url 중 일부 문자열을 현재 시스템 시간 값(Key)으로 암호화하고 Key 값을 “r=”뒤에 이어붙여 URL에 포함시키는 방식으로 암호화하여 전송하도록 설계되어 있는 것을 확인하였다.

악성 URL 요청이 계속해서 바뀐다는 점을 보아 탐지를 어렵게하기위한 것으로 보인다.

88730413.bat 내부에 포함된 PowerShell 스크립트

공격자는 최종적으로 temprun.bat 파일을 실행하려는 것으로 보이나 현재 URL에 접속이 불가하여 이후 행위는 추적이 불가능하다. URL 연결이 가능할 경우, 공격자가 업로드하는 파일에 따라 Qasar RAT, Amadey 등 다양한 악성 파일이 다운로드될 수 있다.

최근 국내 사용자를 대상으로 다양한 주제를 이용한 악성 LNK 파일의 유포되고 있는 만큼 사용자의 각별한 주의가 필요하다. 사용자는 메일의 발신자를 상세하게 확인해야 하며 출처가 불분명한 파일의 경우 열람을 자제해야 한다. 또한, PC 점검을 주기적으로 진행하고 보안 제품을 항상 최신으로 업데이트 하도록 해야 한다.

 

[파일진단]

Dropper/LNK.Generic (2023.11.09.01)
Trojan/BAT.RUNNER.SC194022 (2023.11.03.00)
Trojan/BAT.Agent.SC194303 (2023.11.10.03)
Downloader/BAT.Agent.SC194304 (2023.11.10.03)
Downloader/BAT.Agent.SC194305 (2023.11.10.03)
Infostealer/BAT.Agent.SC194301 (2023.11.10.03)
Infostealer/BAT.Agent.SC194302 (2023.11.10.03)

[IOC]

MD5
a95bd06ea44ca87c6ace0ad00fccdebb (1. 작성양식.docx.lnk)
df243512be8f0eafd7ba7ad77f05e8f3 (start.vbs)
a6e811d205a9189ea0f82ac33a307cec (88730413.bat)
79b0289faf6f82118f2e8cdfa3f6be53 (73505966.bat)
f8ebdb67fa4e7ba5f2723f6de6c389c8 (98543203.bat)
49caa5d4cbb8655ec8f349f0d4238344 (66022014.bat)
feb594bbb8c0c853ab3c23049f374441 (07915735.bat)
51dbeea3d0d003115365a01481c9115b (05210957.bat)

URL & C2
hxxps://file.ssdrive001[.]com/read/
hxxps://file.lgclouds001[.]com/read/
hxxps://file.lgclouds001[.]com/read/get.php
hxxp://accwebcloud[.]com/list.php
hxxp://accwebcloud[.]com/upload.php

 

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

5 2 votes
별점 주기
Subscribe
Notify of
guest

0 댓글
Inline Feedbacks
View all comments