고지서를 위장하여 정보를 탈취하는 악성 LNK
AhnLab SEcurity intelligence Center(ASEC)에서는 최근 사용자 정보를 탈취하는 악성 LNK 파일이 국내 사용자를 대상으로 유포 중인 정황을 확인하였다. 해당 유형은 가상자산 관련 데이터, 브라우저 데이터, 공인인증서, 이메일 파일 등 공격자에게 가치 있는 다양한 데이터를 수집하며, 키로깅도 수행한다.
확인된 악성 LNK 파일은 다음과 같이 고지서를 위장한 파일명을 가지고 있다.
| 지방세입 고지서.pdf.lnk |
| 성범죄자 신상정보 고지.pdf.lnk |
[표 1] 유포되는 파일명
사용자가 LNK 파일을 실행하면 공격자의 서버에서 추가 HTA 파일을 temp 폴더에 다운로드하여 실행한다. HTA 파일에는 압축파일(ZIP)과 미끼 문서(PDF)가 포함되어 있으며, 미끼 문서는 아래와 같다.
 |
 |
[그림 1] 고지서로 위장한 미끼 문서
압축파일(ZIP)에는 총 네 개의 파일(1.log, 2.log, 1.ps1, 1.vbs)이 존재하며, 이 중 실제 악성 행위를 수행하는 파일은 Base64로 인코딩된 파워쉘 스크립트인 1.log와 2.log이다.
 |
 |
[그림 2] 디코딩된 파워쉘 스크립트 일부 (좌측 : 1.log, 우측 : 2.log)
1.log는 정보 수집 및 공격자의 명령어 실행을 수행하고, 2.log는 키로깅을 수행한다. 각 파일의 함수별 기능은 다음과 같다.
| 파일 | 함수명 | 기능 |
|---|---|---|
| 1.log | UploadFile | 공격자 서버로 파일 전송 |
| Unprotect-Data | 암호화된 브라우저 정보를 DPAPI(Data Protection API)를 이용해 복호화 및 수집 | |
| GetExWFile | 다수의 가상 자산 지갑(Wallet) 브라우저 확장 프로그램의 데이터 파일 수집 | |
| GetBrowserData | 브라우저(Edge, Chrome, Naver Whale, Firefox)의 로그인 데이터, 북마크, 확장 프로그램 데이터 파일 수집 | |
| Init | 시스템 정보, 행정전자서명인증서(GPKI), 공동인증서(NPKI) 수집 | |
| DownloadFile | 파일 다운로드 | |
| CreateFileList |
특정 파일의 경로 수집
[대상 확장자]
[대상 파일명]
|
|
| RegisterTask | Run 키 등록을 통한 지속성 유지 | |
| Send | 수집된 데이터를 압축 후 UploadFile 함수를 통해 업로드 | |
| Get-ShortcutTargetPath | 바로가기(LNK) 파일의 대상 경로 획득 | |
| RecentFiles | 최근 열람한 문서 및 파일 경로 수집 (Recent 폴더에 LNK 형식으로 존재, Get-ShortcutTargetPath 활용) | |
| Work | 주기적으로 공격자 서버와 통신하며 추가 명령 수행 (명령어 실행, 파일 업로드/다운로드) | |
| 2.log | Keylog | 키로깅 및 클립보드 데이터 수집 |
[표 2] 파일의 함수별 기능
특징으로, 1.log를 실행시키는 역할을 하는 1.vbs 스크립트 중 일부에서 공격자가 남긴 한글 주석이 확인되었다.
[그림 3] 1.vbs 스크립트 일부
또한 ‘지방세입 고지서.pdf.lnk’ 유포에 사용된 URL은 국내 포털 사이트를 위장하였으며, [표 2]에서 설명된 것 처럼 Naver Whale 브라우저의 데이터, 행정전자서명인증서(GPKI), 공동인증서(NPKI)를 수집하는 기능이 있다. 이는 해당 공격이 국내 사용자를 대상으로 한다는 것을 뒷받침한다.
- 지방세입 고지서.pdf.lnk 유포 URL : hxxps://nid-naveroup.servepics[.]com/docs/revenue.zip
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
