우크라이나 정부 및 기업을 대상으로 유포되는 SmokeLoader

AhnLab SEcurity intelligence Center(ASEC) 은 우크라이나 정부 및 기업을 대상으로 SmokeLoader 악성코드가 다수 유포 중인 것을 확인하였으며, 최근 우크라이나를 대상으로 한 공격이 증가한 것으로 보여진다. 현재까지 확인된 유포 대상에는 우크라이나의 법무부, 공공기관, 보험, 의료, 건축, 제조 기업이 존재하였다.

유포된 메일은 [그림 1] 과 동일한 형태로, 메일 내용은 우크라이나어로 작성되어 있다. 본문에는 송장 관련 문구가 포함되어 있으며, 첨부된 파일을 실행하도록 유도한다.

첨부된 파일은 압축 파일(7z)로 내부에 또 다른 압축 파일(ZIP)이 존재한다. 해당 압축 파일 내에는 SFX 형태의 EXE 파일과 PDF 확장자로 위장한 SmokeLoader 가 포함되어 있다.

SmokeLoader 의 경우 확장자가 PDF 로 되어 있어, 사용자가 클릭하여 실행할 경우 정상적으로 실행되지 않는다. 해당 파일은 함께 존재하는 SFX 에 의해 실행되게 되는데, 전체적인 동작 과정은 [그림 4] 와 같다.

먼저, SFX 파일은 PDF 파일과 BAT 파일을 생성 후 실행한다. PDF 파일은 정상 파일로 사용자를 속이기 위한 미끼 파일이며, BAT 파일은 아래 명령어를 통해 SmokeLoader 를 실행한다.

• BAT 명령어
  start = pax0001782.pdf

SmokeLoader 는 다운로더형 악성코드로, C&C 서버에 접속 후 명령에 따라 추가 모듈 또는 악성코드를 다운로드 받을 수 있다. 실행 시 explorer.exe 에 인젝션을 수행하며 악성 행위는 해당 프로세스를 통해 수행된다. 먼저, %AppData% 경로에 “ewuabsi” 명으로 자가 복제를 수행하며 숨김 및 시스템 파일 속성을 부여한다. 이후 아래 C&C 서버에 연결을 시도하며, Lockbit 랜섬웨어 등 다양한 악성코드가 추가로 다운로드 될 수 있다.

• hxxp://lumangilocino[.]ru/index.php
• hxxp://limanopostserver[.]ru/index.php
• hxxp://numbilonautoparts[.]ru/index.php
• hxxp://specvestniknuk[.]ru/index.php
• hxxp://agropromnubilon[.]ru/index.php
• hxxp://specvigoslik[.]ru/index.php
• hxxp://avicilombio[.]ru/index.php
• hxxp://germagosuplos[.]ru/index.php
• hxxp://niconicalucans[.]ru/index.php
• hxxp://civilomicanko[.]ru/index.php

[파일 진단]
Trojan/Win.FakePDF.R626460 (2023.12.03.02)
Dropper/Win.DropperX-gen.R630443 (2024.01.05.01)

[행위 진단]
Malware/MDP.Execute.M1567

MD5

7ccf5bb03e59b8c92ad756862ecb96fd

852ce0cea28e2b7c4deb4e443d38595a

URL

http[:]//agropromnubilon[.]ru/index[.]php

http[:]//avicilombio[.]ru/index[.]php

http[:]//civilomicanko[.]ru/index[.]php

http[:]//germagosuplos[.]ru/index[.]php

http[:]//limanopostserver[.]ru/index[.]php