backdoor

국내 대학교 대상으로 악성 CHM 유포 중

ASEC 분석팀은 국내 특정 대학교를 대상으로 악성 CHM 파일이 다수 유포되고 있는 정황을 포착하였다. 유포 중인 악성 CHM 파일은 지난 5월에 소개했던 유형과 동일한 유형인 것으로 확인하였다. [그림 1] 은 악성 CHM 내부에 존재하는 HTM 파일의 코드이며, 파일명 “2022년도_기초과학연구역량강화사업_착수보고회_개최_계획 Ver1.1.chm” 으로 유포 중인 것으로 추정된다. 사용자가 악성 CHM 파일을 실행하게 되면, 해당 HTM 파일의 코드가 실행된다. 해당 스크립트는 hh.exe 를 통해 CHM 파일을 디컴파일 후 LBTWiz32.exe 파일을 실행하는 기능을 수행한다. 이후 정상 이미지(KBSI_SNS_003.jpg) 를 사용자 PC 화면에 생성하여 악성 행위를…

특정 군부대 유지보수 업체 대상으로 AppleSeed 유포

ASEC 분석팀은 최근 특정 군부대 유지보수 업체 대상으로 AppleSeed 악성코드를 유포하는 정황을 포착하였다. AppleSeed 악성코드는 Kimsuky 조직에서 주로 사용되는 백도어성 악성코드로 최근 여러 대상을 타깃으로 활발히 유포하고 있다. 이번에는 특정 군부대의 이름이 담긴 아래와 같은 파일명으로 악성코드 유포가 이루어졌다. 20220713_****부대_설치 예상 일정V004_***시스 수정_6.xls 최초 엑셀 문서 형태(XLS)로 유포가 이루어졌으며, 백신을 우회하기 위해서인지 엑셀 파일은 암호로 보호되고 있다. 해당 문서 파일을 실행하면 [그림 2]와 같이 콘텐츠 사용 버튼을 클릭하도록 유도하는 내용이 쓰여있으며, 콘텐츠 사용 버튼을 클릭하면 매크로에 의하여 [그림 3]으로 본문이…

Lazarus 그룹의 방위산업체 대상 공격 증가

Lazarus 그룹의 방위산업체 대상 공격이 지난달부터 증가하고 있다. 공격은 Microsoft Office Word 프로그램의 Office Open XML 타입의 워드 문서 파일을 이용하였다. (샘플 출처: 해외 트위터) Senior_Design_Engineer.docx – 영국 BAE 시스템즈 (5월 접수) Boeing_DSS_SE.docx – 미국 Boeing (5월 접수) US-ROK Relations and Diplomatic Security.docx – 국내 ROK (4월 접수) 문서 파일은 공통으로 외부 External 주소에 접속하여 추가 문서 파일(*.dotm, Word Macro-Enabled Template)을 다운받는다. 다운된 추가 문서 파일은 특정 패턴의 VBA 매크로 코드로 악성 DLL 파일을 시스템에 생성 및 동작한다. <?xml version=”1.0″…

신천지 비상연락처 위장한 Bisonal 악성코드 유포 중 (2020.03.05)

ASEC분석팀은 현재 우리나라에서 이슈가 되고있는 신천지 관련 악성코드가 유포된 것을 확인하였다. 유포 파일명은 xlsx 엑셀 또는 ppt 파워포인트 문서 파일로 보이지만, 유니코드 RLO(Right to Left Override) 방식을 이용하여 파일 확장자를 다른 형태로 보이도록 하였다. 실제 악성 파일은 *.scr 파일이다. RLO 변조 된 파일 유니코드 RLO 변조 유포 악성 파일 신천지예수교회비상연락처(1).Rcs.xlsx 신천지예수교 증거장막성전 총회본부 홍보부 언론홍보과 보좌 조직RCS.ppt – 신천지예수교회비상연락처(1).xlsx  엑셀 문서 내용 – 신천지예수교 증거장막성전 총회본부 홍보부 언론홍보과 보좌 조직.ppt 파워포인트 내용 – 1 파워포인트 내용 – 2 분석 내용은…

국방표준종합정보시스템 VPN 사용자를 겨냥한 악성코드 CHM

   이번에 발견된 악성코드는 아래 [그림1]에서 보이는 것처럼, 국방표준종합정보시스템 VPN 사용자를 대상으로 유포된 것으로 추정된다. 이 악성코드는 Help 파일로 위장했으며, 위장한 CHM 파일에는 [표 1]과 같은 파일들이 포함되어있다.       /index.htm – 악성 파일을 로드 /제목 없음.jpg – 사용자를 속이기 위한 그림 파일 /msupdate.exe – 악성 파일 [표 1] CHM에 포함되어 있는 파일들   악성코드에 포함되어 있는 '제목 없음.jpg'의 내용은 아래와 같다. [그림 1] CHM 실행 화면 (제목 없음. JPG) 처음 CHM 파일을 실행하면 [그림 2]와 같은 형식의 index.htm을 실행하게 되는데 이때 msupdate.exe가 실행된다.   [그림 2] object 태그를 이용하여 악성 파일(msupdate.exe) 실행   msupdate.exe는 리소스 영역에 [표 2]와 같이 DLL을 포함하고 있으며, 실행 시 해당 DLL을 'Application Management'라는 이름의 서비스로 등록시킨다. (서비스 메인 이름 'iamcoming')   [표 2]…