안랩 ASEC은 최근 국내 사용자를 대상으로 악성코드를 다운로드 받는 악성 vbs 스크립트 파일과 워드 문서 파일을 확인하였다.
공격자는 다음과 같이 “0328_크립토***”라는 이름을 갖는 압축 파일을 메일 첨부 파일로 유포한다. 압축 파일 내부를 보면 "주식회사 크립토***_세무조정계산서(추가).doc” 악성 문서 파일과, “참고사항.doc .vbs”라는 이름을 갖는 악성 vbs 스크립트가 들어있다.
악성 doc 파일은 아래와 같은 형태를 가지고 있는데 보통 매크로 활성화 버튼을 클릭하도록 유도하는 형태와 달리 아무런 내용이 존재하지 않는다. 아마도 이 문서 파일을 처음 읽는 입장에서 매크로를 활성화하지 않아 내용이 보이지 않는 것인가 하는 생각으로 활성화 버튼을 클릭하도록 유도하는 것으로 추정된다.
매크로를 활성화 하면 악성 매크로가 실행되는데 최종적으로 다음 url에서 다른 exe 형태의 악성코드를 다운로드 받고 실행하는 기능을 갖는다.
- 다운로드 URL 주소 : http://XXXX.co[.]kr/images/sub03/JIT/A_Socket.ph
다음으로 악성 vbs 파일을 살펴본다. 위의 사진과 같이 vbs 아이콘을 가지고 있지만 일반 사용자들은 눈에 보이는 doc라는 글자만 보고 문서 파일로 생각할 수 있다.
Vbs 파일은 실행되면 또 다른 url에서 악성 doc 문서 파일을 다운로드 받는다.
또 다른 악성 doc 문서 파일은 “BTS 화보집 및 스토리북”이라는 제목을 가지고 있는데, 매크로 활성화 시 또 다른 악성 exe 파일을 다운로드 받는 행위는 동일하다.
다운로드 되는 kmrin.exe 파일은 자동 실행 등록 및 사용자의 기본 정보 (os, 사용자 이름, 컴퓨터 이름, AV 설치 여부 등) 들을 C2 서버로 유출한다.
C2 주소 : http://cert-us[.]com/CC/index.php
현재 C2 서버와의 접속이 되지 않지만, 코드 상으로 분석된 내용을 보면 C2 서버에서 url을 받아와 해당 URL에서 또 다른 악성코드를 다운로드 받은 후 실행할 수 있는 기능이 존재한다.
안랩에서는 위의 악성코드들에 대해 다음과 같이 진단 중이다.
- 악성 워드 문서 파일 : MSOffice/Dropper (2019.03.29.01), W97M/Downloader (2019.03.29.08)
- 악성 vbs 스크립트 파일 : VBS/Downloader (2019.03.29.03)
- Exe 악성코드 : Backdoor/Win32.Agent (2019.03.29.04)
'악성코드 정보' 카테고리의 다른 글
| V3Lite 제품에 대한 진단 우회 시도 (GandCrab v5.2) (0) | 2019.04.11 |
|---|---|
| [주의] 국내 코인업체 대상 'Amadey' 악성코드 공격시도 (1) | 2019.04.02 |
| Operation ShadowHammer (ASUS 인증서만 문제?) (0) | 2019.03.27 |
| GandCrab v5.2 랜섬웨어에서 사용된 동적분석 우회기법 (2) (0) | 2019.03.27 |
| [주의] 국내에 확산되고 있는 SMB취약점(MS17-010) 공격시도 (1) | 2019.03.26 |
댓글