AhnLab Security Emergency response Center(ASEC)은 최근 Konni 공격 그룹에 의해 개인정보 유출 관련 자료를 위장한 악성 exe 파일이 개인을 대상으로 유포되고 있음을 확인하였다. C2가 닫혀있어 최종 행위는 확인하지 못하였지만 공격자에게 난독화된 명령을 받아 xml 형식으로 실행하는 백도어형 악성코드이다.
악성 exe 파일을 실행하면 .data section에 존재하는 파일들을 %Programdata% 폴더에 생성한다. 생성된 파일들은 정상 doc 파일을 제외하고 난독화가되어있다.
- Lomd02.png (악성 jse 스크립트)
- Operator.jse (악성 jse 스크립트)
- WindowsHotfixUpdate.jse (악성 jse 스크립트)
- 20231126_9680259278.doc (정상 doc 문서)
- WindowsHotfixUpdate.ps1 (악성 powershell 스크립트)
생성된 파일 중 정상 ‘20231126_9680259278.doc’ 문서도 포함하여 사용자로 하여금 정상적인 파일이 실행된 것으로 보여지게 하려는 공격자의 의도로 보인다.
Operator.jse은 WindowsHotfixUpdate.jse를 실행시키는 작업 스케줄러를 생성하며, WindowsHotfixUpdate.jse은 WindowsHotfixUpdate.ps1 파일을 실행시키는 기능을 한다. WindowsHotfixUpdate.ps1 파일은 C2에서 명령을 받아오는데 이때 명령은 난독화 되어 있을 것으로 보인다. Lomd02.png 파일명의 jse 파일이 이 난독화된 명령을 복호화하여 xml 형태로 로드하는 것으로 확인되기 때문이다.
현재는 C2와의 접속이 불가능하여 추가 명령확인이 어려우나, C2로부터 전달되는 명령에 따라 다양한 추가 공격이 가능할 것으로 보인다.
- 작업 스케줄러 이름: WindowsHotfixUpdate[B409302303-02940492024]
- 트리거: 무기한으로 1분마다 반복
- 동작: C:\ProgramData\WindowsHotfixUpdate.jse 실행
이처럼 일반 사용자들은 미끼 문서 파일이 함께 실행되어 자신이 악성코드에 감염되었다는 사실을 인지하지 못하는 경우가 많다. 보통 이런 유형의 악성코드들은 특정 대상을 겨냥하여 공격이 이루어지기 때문에 출처가 불분명한 메일의 첨부 파일을 실행하지 않도록 주의가 필요하다.
[파일 진단]
- Backdoor/JS.Konni (2023.12.06.03)
- Backdoor/Win.Konni (2023.12.06.03)
- Backdoor/PowerShell.Konni (2023.12.06.03)
[IOC]
- MD5
b58eb8a3797d3a52aba30d91d207b688 ([날짜]_[이름].exe)
78ea811850e01544ca961f181030b584 (Lomd02.png)
682b5a3c93e107511fdd2cdb8e50389a (Operator.jse)
a93474c3978609c8480b34299bf482b7 (WindowsHotfixUpdate.jse)
d634cb7b45217ca4fd7eca5685a64f50 (20231126_9680259278.doc)
d06d1c2ec1490710133dea445f33bd19 (WindowsHotfixUpdate.ps1) - C2
hxxp://gjdow.atwebpages.com/dn[.]php?name=[Computer name]&prefix=tt
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
팬이에요!
분석 멋져요!
매우 훌륭한 분석 글입니다. 전문가적이며, 뛰어납니다. 이를 통해 많은 것을 깨우치며 통찰력을 향상시킵니다.