AhnLab Security Emergency response Center(ASEC)은 개인정보 판매를 미끼로 하는 악성코드 유포 정황을 확인했다. 이와 같은 공격 방법은 사회공학적 해킹에 속한다. ASEC에서 최근 확인된 사회공학적 해킹을 통한 악성코드 유포 정황을 소개한다.
그림 1. 공격자가 사용한 유포지
[그림 1]은 공격자가 유포지로 사용한 홈페이지 내용이다. 다수의 파일들이 존재한다. 대부분 개인정보를 갖고 있는 파일이며, 파일 내용은 ‘리딩’, ‘비상장’, ‘단타’, ‘중장기’ 등 투자 관련 내용을 포함하고 있다.
그림 2. coin.xlsx 파일 내용
그림 3. DD10.25.xlsx 파일 내용
그림 4. 10.25kaka.xlsx 파일 내용
공격자는 악성코드 유포지에 8500건이 넘는 다수의 개인정보를 파일로 갖고 있었다. 이름과 전화번호 외에도 개인의 투자금액과 신용 등을 기록한 파일도 존재 했다.
그림 5. 초기 유포 스크립트
그림 6. win64.vbs 스크립트 내용
그림 7. win64.vbs 가 실행하는 파워쉘 명령어
이와 같은 개인정보는 [그림 5]의 스크립트 처럼 악성코드 유포자가 판매를 위장하여 악성코드를 감염시키는 것으로 확인된다. 악성코드를 직접 감염시키는 [그림 6]의 스크립트와 개인정보 파일을 다운로드 받아 실행 시킨다. 실행되는 악성코드는 스크립트로 보이지 않으며, 사용자 입장에서는 개인정보 파일이 열리기 때문에 악성코드 감염을 의심하기 어렵다.
[그림 6]은 [그림 1]의 목록에 존재하는 win64.vbs 파일의 내용이다. 인코딩된 문자열을 치환 및 디코드 하여 파워쉘로 실행한다. 실행되는 명령어는 비교적 간단하다. textbin 주소의 문자열을 읽어와 base64 로 디코드 하여 실행하며, [그림 1]의 목록에 base64.txt 파일을 받아와 실행하는 역할을 한다.
그림 8. 실행되는 악성코드 기능 중 일부
실행되는 악성코드는 원격 제어가 가능한 RAT 기능과 동일하며 기능으로는 자동실행 등록, 스크립트 실행, 추가 파일 다운로드, 다운로드된 파일을 정상 프로세스인 Regsvcs.exe 를 통한 실행기능과 리버스 커넥션 을 수행한다.
본 글에서는 개인정보를 미끼로 하는 악성코드 유포 정황을 소개했다. 본문에서 확인된 파일에서도 ‘리딩’, ‘비상장’, ‘단타’ 등의 단어가 다수 존재했다. 이와 같이 무분별하게 수집된 개인정보는 암호화 되어 보관되지 않아 유출 시 악성코드 유포에 재사용 된다. 사용자는 인가 받지 않은 투자 정보를 제공하는 단체방 등에 대한 주의가 필요하다.
파일 진단
Trojan/VBS.Runner (2023.11.21.00)
Trojan/Win.Agent.C426491 (2021.06.30.03)
Backdoor/Win.AsyncRat.C5372433 (2023.02.02.03)
Dropper/Win.Generic.C5499482 (2023.10.02.00)
행위 진단
Execution/MDP.Powershell.M2514
[IOC]
MD5
a377d92101121294088e02b01624f19c
ebaa2ad4d3b7e88424e9db4c860d7558
d3d5f947a872d50fd2addfecfa2b2276
27218824d5b1da553e3d65f2a4a0f974
f963a7bf7b1377d78813c90dd649f512
ebaa2ad4d3b7e88424e9db4c860d7558
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보