㈜소프트이천

코인 및 투자 사칭한 악성코드 주의하세요!

보안 이슈 2023-08-01

안랩 분석팀이 최근 코인 거래소 및 투자 관련 내용으로 위장한 악성코드를 발견했다. 이 악성코드는 실행 파일 및 워드 문서 형태로 유포 중인 것으로 확인되며, 사용 중인 사용자 에이전트(User-Agent)로 미루어 보아, 김수키(Kimsuky) 공격 그룹이 제작한 것으로 추정된다. 해당 악성코드의 유포 과정을 알아보자.

 

확인된 악성 파일명은 [표 1]과 같다.

[표 1] 확인된 파일명

 

[표 1]의 실행 파일은 정상적인 워드 문서 및 PDF 아이콘으로 위장했다.

 

 

[그림 1] 실행 파일 아이콘

 

위 악성 실행 파일은 자체 추출 아카이브(Self-extracting archive, SFX) 형식으로, 내부에 정상 문서 파일을 포함한다. 파일을 실행하면 [그림 2]의 정상 문서 파일이 생성된다.

[그림 2] 각 실행 파일에서 생성하는 정상 문서 파일

​각 문서 파일은 자산 관리 및 코인 거래소 관련 내용을 담고 있다. 문서 내용은 [그림 3]과 같다.

[그림 3] 20230717_030190045911.pdf​

 

[그림 4] 0728-위**월렛 자금 자동 인출.docx

[그림 5] 230728 위**팀 – 월렛해킹 공통점.docx

각 실행 파일의 archive content에서 [그림 2]의 정상 문서와 더불어, 특정 URL에 접속하는 명령어가 확인됐다.

[그림 6] 실행 파일의 archive content

파일이 실행되면 정상 문서가 생성되고, mshta.exe를 활용해 악성 URL에 존재하는 스크립트 코드를 실행한다. 확인된 악성 URL은 다음과 같다.

  • Ÿ hxxps://partner24[.]kr/mokozy/hope/biz.php
  • Ÿ hxxps://partner24[.]kr/mokozy/hope/doc1.php
  • Ÿ hxxps://partner24[.]kr/mokozy/hope/doc2.php

공격자는 앞서 설명한 SFX 형식의 실행 파일 외에도 VBA(Visual Basic for Application) 매크로가 포함된 워드 문서를 함께 유포하고 있는 것으로 추정된다. 해당 문서 파일 역시 악성 실행 파일과 동일한 코인 거래소를 사칭한 것으로 확인됐다.

 

문서 파일이 실행되면 공격자는 [그림 7]처럼 본문의 글자 색의 기본값을 회색으로 설정해 사용자가 ‘콘텐츠 사용’ 버튼을 클릭하도록 유도한다. 콘텐츠 사용 버튼 클릭 시 문서에 포함된 VBA 매크로 코드가 실행되며, 본문의 글자가 검정색으로 변경된다.

 

[그림 7] 기존 문서 파일 내용의 글자 색

[그림 8] 매크로가 실행된 후의 본문 글자 색

 

​문서에 포함된 VBA 매크로가 실행되면 %windir%\system32 폴더에 존재하는 정상 wscript.exe를 %appdata% 폴더에 word.exe 명으로 복사한다. 이후 hxxps://partner24[.]kr/mokozy/hope/kk.php 에서 Base64로 인코딩된 추가 스크립트를 다운로드 및 디코딩한 후, %USERPROFILE% 폴더에 set.sl 명으로 저장한다. 생성된 set.sl은 아래 명령어를 통해 실행된다.

  • Ÿ cmd /c %appdata%\word.exe //e:vbscript //b %USERPROFILE%\set.sl

[그림 9] VBA 매크로 코드의 일부

 

​분석 당시 hxxps://partner24[.]kr/mokozy/hope/kk.php에서 다운로드 된 코드에서 특별한 악성 행위가 확인되지 않았지만, 공격자의 의도에 따라 다양한 악성 명령어가 실행될 수 있다. set.sl에 저장된 코드는 다음과 같다.

[그림 10] 생성된 set.sl 파일 내용

 

​해당 악성코드는 [그림 9]의 매크로 코드에서 크롬(Chrome)이 아닌 ‘Chnome’을 사용자 에이전트로 사용하고 있다. 또한, 실행 파일과 워드 문서 각각의 파일명에 사용된 코인 거래소 이름과 C2 주소가 동일한 것을 봤을 때, 두 파일 모두 같은 공격 그룹이 제작했을 것으로 짐작할 수 있다.

 

현재는 C2에 접속되지 않아 최종적으로 실행되는 스크립트는 알 수 없지만, 사용자 정보 유출 및 추가 악성코드 다운로드와 같은 다양한 악성 행위가 수행될 수 있어 사용자의 각별한 주의가 필요하다.

출처 : AhnLab

관련 글

취약한 MS-SQL 서버에 설치되는 악성코드 주의!

취약한 MS-SQL 서버에 설치되는 악성코드 주의!

최신 사이버 위협과 알아두면 좋은 보안 용어

최신 사이버 위협과 알아두면 좋은 보안 용어

리눅스 시스템 공격에 사용되는 Pupy RAT 분석

리눅스 시스템 공격에 사용되는 Pupy RAT 분석

Notepad++ 공식 패키지 파일로 위장한 악성코드 주의

Notepad++ 공식 패키지 파일로 위장한 악성코드 주의

Redis 서버를 통해 설치되는 메타스플로잇 미터프리터

Redis 서버를 통해 설치되는 메타스플로잇 미터프리터

유튜브 계정 통해 유포 중인 인포스틸러 악성코드 주의

유튜브 계정 통해 유포 중인 인포스틸러 악성코드 주의

구글 광고 추적 기능 통해 유포 중인 악성코드 주의

구글 광고 추적 기능 통해 유포 중인 악성코드 주의

공공기관 설치 파일로 위장한 악성코드 주의

공공기관 설치 파일로 위장한 악성코드 주의

복호화 키를 포함한 CryptoWire 랜섬웨어

복호화 키를 포함한 CryptoWire 랜섬웨어

국내 자산 솔루션 통해 유포 중인 악성코드 주의!

국내 자산 솔루션 통해 유포 중인 악성코드 주의!

더 보기
소프트웨어 구입 / 컨설팅 문의
소프트웨어견적 요청
솔루션제안 요청
기술 지원상담 요청
카카오톡문의
㈜소프트이천 서울특별시 송파구 송파대로 167 테라타워 A동 1201-1203호 TEL : 02-553-2331 Copyright SOFT2000 All Rights Reserved.
02-553-2331
견적 요청
카카오톡 문의