chm

OneNote 와 CHM 을 통해 유포 중인 Qakbot 악성코드

AhnLab Security Emergency response Center(ASEC) 에서는 Qakbot 악성코드의 다양한 유포 방식에 대해 소개해왔으며, 지난 2월에는 원노트(OneNote) 로 유포되는 유형을 소개했었다. 최근 OnetNote 로 유포되는 Qakbot 이 다시 확인되었으며, 그 과정에 윈도우 도움말 파일(CHM) 이 이용되는 것을 포착하였다. 원노트 파일 실행 시, 아래와 같이 Microsoft Azure 이미지와 함께 Open 버튼을 클릭하도록 유도하는 것을 확인할 수 있다. 해당 버튼 위치에는 ISO 파일이 숨어 있어, 사용자가 Open 버튼을 클릭할 경우 임시 경로에 ISO 파일이 생성되며 마운트된다. ISO 파일 내에는 CHM 파일이 존재하며, README…

Tonto 그룹, DLL Side-Loading 에 Anti-Virus 관련 파일 이용

Tonto 그룹은 주로 아시아 국가를 대상으로 하는 공격 그룹으로, Bisonal 계열의 악성코드를 유포해왔다. AhnLab Security Emergency response Center(ASEC) 에서는 대한민국 교육, 건설, 외교, 정치 분야와 관련된 기관을 대상으로한 Tonto 그룹의 CHM 악성코드 공격을 추적해왔으며, 최근에는 최종적으로 실행되는 악성 행위에 Anti-Virus 제품 관련 파일이 이용되는 정황을 포착하였다. Tonto 그룹의 CHM 악성코드 국내 유포는 지난 2021년부터 확인되었으며, 진단 우회를 위해 다양한 형태로 변형되고 있다. 최근에 확인된 유형의 전체적인 동작 과정은 [그림 1] 과 같으며, ReVBShell 을 통해 공격자의 명령을 받는 과정까지는 기존과…

Bitter 그룹, 중국 기관을 대상으로 CHM 악성코드 유포

Bitter (T-APT-17) 그룹은 주로 남아시아 정부 기관을 대상으로 하는 공격 그룹으로, 악성코드 유포에 Word 나 Excel 등 Office 문서를 이용해왔다. AhnLab Security Emergency response Center(ASEC) 에서는 최근 Bitter 그룹에서 중국의 특정 기관을 대상으로 CHM 악성코드를 유포한 정황을 다수 확인하였다. CHM 파일은 올해 초부터 다양한 공격 그룹에서 APT 공격에 이용하고 있으며 ASEC 블로그를 통해 여러차례 소개해왔다. 이번 공격에 사용된 CHM 은 이메일의 첨부 파일을 통해 유포되고 있으며, 첨부 파일은 압축된 형태이다. 압축 파일 내부에 CHM 파일이 존재하며 현재까지 확인된 파일명은 아래와…

EDR을 활용한 CHM 악성코드 추적

AhnLab Security Emergency response Center(ASEC)은 최근 CHM(Compiled HTML Help File)을 이용한 APT 공격 사례를 공개하였다. CHM은 HTML 형식의 도움말 파일이며 HTML 파일을 내부에 포함하므로 공격자는 악의적인 스크립트 코드를 HTML에 삽입할 수 있다. 삽입된 스크립트는 운영체제 기본 응용 프로그램인 hh.exe를 통해 실행된다. 이처럼 공격자가 서명되어 있거나 운영체제에 기본으로 설치된 프로그램을 통해 악성코드를 실행하는 기법을 MITRE ATT&CK에서는 T1218 (System Binary Proxy Execution)이라 명명하였다. MITRE에서는 공격자가 T1218 기법을 이용하여 악성코드를 실행할 경우 서명된 바이너리 혹은 MS 기본 프로그램에서 악성코드가 실행되기 때문에 프로세스 및…

패스워드 파일로 위장하여 유포 중인 악성코드

AhnLab Security Emergency response Center(ASEC)은 지난 달 패스워드 파일로 위장하여 정상 문서 파일과 함께 압축 파일로 유포되는 악성코드를 확인하였다. 해당 유형의 악성코드는 정상 문서 파일을 함께 유포함으로써 사용자가 악성 파일임을 알아채기 어렵다. 최근 확인된 악성코드는 CHM과 LNK 형식으로, CHM의 경우 아래에 소개한 악성코드와 동일한 유형으로 같은 공격 그룹에서 제작한 것으로 보인다.   CHM과 LNK 파일은 모두 암호가 설정된 정상 문서 파일과 함께 압축되어 유포된 것으로 추정된다. 엑셀 및 한글 파일의 경우 암호가 설정되어 있어 사용자가 암호가 적힌 것으로 보여지는 CHM…