이력서를 사칭한 워드 문서로 유포되는 LockBit 3.0 랜섬웨어
AhnLab SEcurity intelligence Center(ASEC)은 지난 달부터 워드 문서를 통해 LockBit 랜섬웨어가 유포되고 있음을 확인하였다. LockBit 랜섬웨어는 주로 이력서를 사칭하여 유포되는 것이 특징이며, 이번에 확인된 악성 워드 문서 역시 이력서를 사칭하였다.[1] 또한, 워드 문서의 External URL 링크를 활용하는 LockBit 랜섬웨어를 유포 방식은 2022년 최초 확인되었다.[2] 최근 확인된 악성 워드 문서의 파일명은 다음과 같다.
| 파일명 |
|---|
| [[[231227_양**]]].docx |
| 231227_이**.docx |
| 231227유**.docx |
| 김**.docx |
| 선우**.docx |
| 꼼꼼한 일처리! 커뮤니케이션의 일인자!1.docx |
| 밝은 미소와 친절한 태도를 갖춘 인재.docx |
| 적극적인 자세로 업무에 임하겠습니다.docx |
워드 문서 내부 \word\_rels\settings.xml.rels 파일에는 External Link가 포함되어 있어 문서 실행 시에 외부 URL에서 추가 악성 매크로 코드가 존재하는 문서 파일을 다운로드한다. 문서 속성 확인 시 과거 유포하던 문서의 속성과 대부분 일치하는 것으로 보아 과거에 사용하던 문서를 재사용하는 것으로 추정된다.
본문에는 다음과 같이 악성 VBA 매크로가 실행될 수 있도록 유도하는 이미지가 삽입되어 있다. 매크로 실행 시 External URL에서 다운로드한 문서 파일에 포함된 VBA 매크로가 실행된다.
확인된 External URL은 다음과 같다.
- hxxps://viviendas8[.]com/bb/qhrx1h.dotm
- hxxps://learndash.825testsites[.]com/b/fgi5k8.dotm
- hxxps://neverlandserver.nn[.]pe/b/ck0zcn.dotm
다운로드 된 문서 파일을 통해 실행된 매크로 코드는 다음과 같다. 2022년 확인된 VBA 매크로와 거의 유사한 형태로 난독화 되어 있으며, 최종적으로 powershell을 실행하여 LockBit 랜섬웨어를 다운로드 및 실행한다.
확인된 LockBit 랜섬웨어 다운로드 URL은 다음과 같다.
- hxxps://learndash.825testsites[.]com/b/abc.exe
- hxxps://viviendas8[.]com/bb/abc.exe
- hxxps://neverlandserver.nn[.]pe/b/abc.exe
다운로드한 LockBit 3.0 랜섬웨어는 실행 시 사용자 PC에 존재하는 파일을 암호화한다.
LockBit 랜섬웨어 이외에도 다양한 악성코드가 이력서를 위장하여 유포되기 때문에 사용자의 각별한 주의가 요구된다.
[파일 진단]
Downloader/DOC.Macro (2023.12.29.03)
Downloader/DOC.Agent (2024.01.02.03)
Downloader/XML.Exernal (2024.01.09.00)
Malware/Win.AGEN.R417906 (2021.04.27.03)
Trojan/Win.Generic.R629778(2023.12.30.01)
Ransomware/Win.LockBit.XM170 (2023.10.05.02)
[행위 진단]
Ransom/MDP.Event.M4194
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
