사용자 정보를 탈취하는 CHM 악성코드 국내 유포
AhnLab SEcurity intelligence Center(ASEC)에서는 최근 사용자 정보를 탈취하는 CHM 악성코드가 국내 사용자를 대상으로 유포 중인 정황을 확인하였다. 유포 중인 CHM 은 과거부터 LNK, DOC, OneNote 등 다양한 포맷을 통해 꾸준히 유포되던 유형으로, 최근 동작 과정에 약간의 변화가 확인되었다.
- 연관 게시글
(2023.06.16) 한글 문서 파일을 위장한 악성코드(Kimsuky)
(2023.03.20) 사례비 지급 내용으로 위장한 OneNote 악성코드 (Kimsuky)
(2023.03.08) 대북 관련 질문지를 위장한 CHM 악성코드 (Kimsuky)
(2022.05.18) 다양한 주제의 보도자료를 사칭한 Kimsuky 공격시도
전체적인 실행 과정은 [그림 1]과 같다. 다수의 스크립트를 통해 최종적으로 사용자 정보 및 키로그 데이터를 공격자에게 전송하는 유형으로, 각 실행 과정은 아래에서 소개한다.
1. CHM
CHM 실행 시, 생성되는 도움말 창은 [그림 2]와 같으며 과거에 이용했던 문구를 그대로 사용한 것으로 보인다. 이때 CHM 내 존재하는 악성 스크립트가 함께 실행되며, 해당 스크립트는 “%USERPROFILE%\Links\Link.ini” 경로에 파일을 생성 후 실행하는 기능을 수행한다.
2. Link.ini
Link.ini 파일은 스크립트 파일로, 특정 URL 에 접속하여 추가 스크립트를 실행한다. 기존에는 접속하는 URL 의 형태가 “list.php?query=1” 으로 사용되어 왔으나, 해당 파일에서는 “bootservice.php?query=1” 으로 변경되었다.
3. bootservice.php?query=1 (Fileless)
해당 URL 에는 Base64로 인코딩된 악성 스크립트가 존재하며, 디코딩된 스크립트는 <Kimsuky 그룹 유포 악성코드 분석 보고서> 에서 확인된 스크립트와 동일하다. 악성 기능으로는 사용자 정보 유출, 악성 스크립트 파일 생성 및 서비스 등록이 있다.
| 시스템 정보 | 시스템 소유자명 |
| 컴퓨터 제조업체명 | |
| 제품명 | |
| 시스템 유형 | |
| 운영체제 버전 및 빌드 번호 | |
| 사용 가능한 메모리 크기 | |
| 프로세서 현재 속도 | |
| 폴더 내 파일 목록 | C:\Users\[User]\Desktop |
| C:\Users\[User]\Documents | |
| C:\Users\[User]\Favorites | |
| C:\Users\[User]\AppData\Roaming\Microsoft\Windows\Recent | |
| C:\Program Files | |
| C:\Program Files(x86) | |
| C:\Users\[User]\Downloads | |
| 실행 중인 프로세스 정보 | 실행 파일명 |
| ProcessID | |
| SessionID | |
| 안티 바이러스 제품 정보 (코드만 존재, 실행 X) |
제품명 |
| 공급자 경로 | |
| 고유 식별자 | |
| 상태 정보 |
[표 1] 유출 정보
악성 스크립트는 “%USERPROFILE%\AppData\Local\Microsoft\Windows\Temporary Internet Files\OfficeUpdater_[분]_[시]_[일,월].ini” 경로에 생성되며, 60분마다 자동으로 시작되도록 서비스에 등록된다.
4. OfficeUpdater_[분]_[시]_[일,월].ini
해당 파일은 서비스에 등록되어 주기적으로 동작하며, 특정 URL 에 접속하여 추가 스크립트를 실행한다. 마찬가지로 접속하는 URL 의 형태가 기존에는 “list.php?query=6” 으로 사용되어 왔으나, “bootservice.php?query=6” 으로 변경되었다.
5. bootservice.php?query=6 (Fileless)
해당 URL에는 3번 과정과 동일하게 Base64로 인코딩된 악성 스크립트가 존재하며, 디코딩된 스크립트는 파워쉘 명령어를 통해 특정 URL에 접속하여 추가 스크립트를 실행한다. 이때 파라미터로 “InfoKey” 및 인코딩된 URL 정보가 함께 전달된다.
6. loggerservice.php?idx=5 (Fileless)
해당 URL 에는 파워쉘 스크립트가 존재하며, 해당 스크립트는 암호화된 Secure String 을 디코딩 후 실행하는 기능을 수행한다. 기존에는 해당 과정에서 decompress 및 Base64 등 비교적 간단한 난독화를 사용했지만 탐지를 우회하기 위해 좀 더 복잡한 난독화로 변경된 것으로 보인다.
디코딩된 스크립트는 키로깅을 수행한다. 키로그 및 클립보드 데이터를 “%APPDATA%\Microsoft\Windows\Templates\Office_Config.xml” 경로에 저장 후 저장된 데이터를 공격자에게 전송하며, 전송 이후 해당 파일은 삭제된다.
최근 유포가 확인된 CHM 악성코드의 동작 과정을 보면 과거부터 소개해왔던 유형과 매우 유사한 것을 알 수 있다. 동일한 그룹이 제작한 것으로 추정되며, 탐지를 우회하기 위해 다양한 방식으로 난독화를 수행하는 것으로 보인다. 국내 사용자를 대상으로 유포되고 있는 만큼, 사용자는 출처가 불분명한 파일 열람을 자제하고 각별한 주의가 필요하다.
[파일 진단]
Dropper/CHM.Generic (2024.04.25.03)
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
