국내 금융 기업 대상으로 유포 중인 악성 LNK
AhnLab SEcurity intelligence Center(ASEC) 에서는 국내 금융 기업을 대상으로 악성 LNK 파일이 유포되고 있는 정황을 확인하였다. LNK 파일을 이용한 공격은 과거부터 꾸준하게 이용되던 방식으로 사용자들의 주의가 필요하다.
최근 확인된 LNK 파일은 악성 URL 이 첨부된 이메일을 통해 유포 중인 것으로 추정된다. URL 은 아래와 같으며, “금융당국 요청에 따른 프로젝트 정보 확인 요청의 건.zip” 명의 압축 파일(ZIP)이 다운로드 된다. 현재는 정상 문서만 포함된 압축 파일이 다운로드되고 있어, 공격자는 짧은 시간 동안만 악성 파일을 유포하여 분석 및 추적을 어렵게 하는 것으로 보인다.
- 다운로드 URL
hxxps://cumasufitness[.]com/wp-includes/js/inc/?aEFrmRUBjZHtF=cfv0wxmIIUr%2BJAwMxATk9fG%2B8bF2B4KmBd7fe3KYw594YW%2B4GMISiUDCi6d3o8rjLWk
vIZyD%2BDGFejKC5K%2BM2jACfRH%2Baq6HxTGuHd0ZXc8yANAvFQ3Zduafgo1P2JU%2FBSN1e3uNA6w%3D
유포 중인 악성 압축 파일의 경우, 내부에 악성 LNK 파일과 정상 PDF 파일이 존재한다.
[그림 1] 압축 파일 내부
정상 PDF 파일은 가상 화폐 관련 프로젝트 정보 업데이트를 요청하고 있으며, 사용자의 악성 LNK 파일 실행을 유도하고 있다.
[그림 2] 정상 PDF
악성 LNK 파일은 일반적인 사용자가 봤을 때 엑셀 파일로 착각하기 쉽다. 하지만 LNK 파일 내부에는 악성 파워쉘 명령어가 포함되어 있으며, 파일의 전체 크기는 약 300MB 이다.
[그림 3] 악성 LNK 파일
파워쉘 명령어는 난독화된 형태로, 기존에 유포되던 유형보다 난독화 정도가 더욱 복잡해졌다. 변수명에 특수 문자를 사용하거나 사용되는 문자열을 모두 쪼개어 분석 및 탐지를 회피하려는 것으로 보인다.
[그림 4] 난독화된 악성 파워쉘 명령어
파워쉘 명령어의 기능은 기존과 동일하다. LNK 파일 내 특정 위치에 존재하는 데이터를 xor 연산 후 아래 파일을 생성한다.
- {Current path}\#1. 프로젝트 정보 업데이트 요청사항.xlsx (정상)
- %Public%\transfer.cab (악성)
이후 생성된 정상 엑셀 파일을 실행하여 사용자 입장에서 악성 행위를 알아차리기 어렵도록 한다. 이때 함께 생성된 악성 CAB 파일을 압축 해제 후 “start.vbs” 파일을 실행하며, LNK 파일과 CAB 파일은 삭제하여 실행 흔적을 지운다.
[그림 5] 정상 엑셀
[그림 6] transfer.cab 내부
start.vbs 를 포함한 각 스크립트 기능은 아래와 같다.
| 파일명 | 기능 |
|---|---|
| start.vbs | 37667862.bat 실행 |
| 37667862.bat | RunKey 등록 (start.vbs) 57089304.bat 실행 (다운로드 기능) 39054408.bat 실행 (정보탈취 기능) 69299856.bat 실행 (다운로드 기능) |
| 57089304.bat | 46492345.bat 을 통해 ZIP 파일 다운로드 unzip.exe 를 통해 압축 해제 후 1.bat 실행 |
| 39054408.bat | 사용자 정보 수집 90262621.bat 실행 |
| 69299856.bat | 46492345.bat 을 통해 CAB 파일 다운로드 expand 명령어를 통해 압축 해제 후 temprun.bat 실행 |
| 46492345.bat | 파일 다운로드 |
| 90262621.bat | 사용자 정보 업로드 |
| unzip.exe | ZIP 파일 압축 해제 |
[표 1] 스크립트 기능
각 스크립트에 의해 수행되는 최종 악성 행위는 사용자 정보 탈취 및 추가 악성 파일 다운로드이다. 탈취되는 사용자 정보는 아래와 같으며, 해당 정보는 “hxxp://shutss[.]com/upload.php” 로 전송된다.
- 탈취 정보 (39054408.bat 기능)
downloads 폴더 파일 목록
documents 폴더 파일 목록
desktop 폴더 파일 목록
시스템 정보
다운로드되는 파일은 총 2개로, ZIP 파일과 CAB 파일이 있다. ZIP 파일은 unzip.exe 를 통해 압축 해제하며 압축 해제 시, 패스워드(a0) 가 필요하다. 이후 생성된 파일 중 1.bat 파일을 실행한다.
- 다운로드 URL (57089304.bat 기능)
hxxps://thevintagegarage[.]com/plugins/content/src/inc/get.php?ra=iew&zw=lk0100
CAB 파일은 expand 명령어를 통해 압축 해제하며 이후 생성되는 temprun.bat 파일을 실행한다.
- 다운로드 URL (69299856.bat 기능)
hxxp://shutss[.]com/list.php?f=%COMPUTERNAME%.txt
현재 추가 파일은 다운로드가 불가하여 이후 악성 행위는 알 수 없으나, 공격자가 업로드하는 파일에 따라 다양한 공격이 수행될 수 있다.
또한, 공격에 사용되는 파일 포맷, 명령어, URL 형태 등 악성 행위가 수행되는 과정이 기존과 유사한 것으로 보아 동일한 공격자로 추정된다. 공격 과정은 변화하지 않았지만, 공격에 사용되는 스크립트 코드는 더욱 복잡하게 난독화되었으며 공격자는 탐지를 회피하기 위해 노력 중인 것으로 보인다.
LNK 파일을 이용한 공격은 과거부터 현재까지 꾸준하게 확인되고 있으며, 대상 타겟에 맞는 다양한 주제로 유포되고 있으므로 사용자는 출처가 불분명한 파일의 경우 실행을 자제해야 한다.
[파일 진단]
Trojan/LNK.Agent (2024.07.24.02)
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
