포스팅 내용

악성코드 분석 리포트

직원 활동 상여금 발급청구서를 위장하여 유포되고 있는 악성코드 주의!



안녕하세요. ESRC(시큐리티 대응센터)입니다.


일반적인 기업들의 상여금 발급 시즌을 맞이하여 '직원활동상여금발급청구서_1.doc' 파일명으로 악성코드가 유포되고 있어 사용자들의 주의가 필요합니다. 


해당 문서에는 악성 매크로가 포함되어 있으며, 워드 파일 내용에 [콘텐츠 사용]을 활성화 하라는 문구로 사용자들에게 매크로 기능 활성을 유도합니다. 



[그림 1] 악성 매크로가 포함된 워드파일



특이한 점은, 악성 매크로가 포함된 워드문서의 코드페이지 식별자가 중국어(936)로 설정되어 있다는 점 입니다. 



[그림 2] 코드페이지 설정 화면



만약 사용자가 [콘텐츠 사용]을 눌러 매크로 기능을 활성시킨다면, 워드문서에 포함되어 있던 악성 VBA매크로가 실행되게 됩니다. 


이렇게 실행된 악성 VBA매크로는 미리 설정된 C&C서버에 접속하여 ‘C:\Users\Public\Documents\’ 경로에 'log.txt' 이름을 가진 파일을 내려받고 실행합니다.해당 파일은 텍스트 파일을 위장한 64bit 악성 dll 입니다. 



[그림 3] dll을 내려받는 VBA 스크립트



악성 dll 파일은 64bit용 악성파일이라, 만약 사용자 PC의 사용환경이 32bit일 경우 오류가 발생하게 됩니다. 



[그림 4] 32bit 운영체제에서 오류가 발생하는 화면



악성 dll 파일에는 NHN Corp 정보로 위장한 디지털 서명이 포함되어 있습니다. 



[그림 5] 가짜 NHN Corp 서명을 포함하고 있는 dll파일



로드 된 log.txt 파일은 다운로더 역할을 수행합니다. 


공격을 수행하기 전에 로컬 시간이 5월 이전인지, 프로세서 갯수가 4개 이상인지 확인합니다. 이는 공격자가 설정해놓은 시간과 분석시스템 여부를 확인하기 위함으로 추정됩니다. 그 후 파라미터로 받은 '60' 값을 이용하여 Shellcode를 디코딩 및 로드합니다. 



[그림 6] 디코딩 및 Shellcode 로드 코드



원래는 설정되어 있는 다운로드 주소에서 파일을 내려받지만, 분석 시점에서는 해당 파일이 존재하지 않아 더 이상의 분석은 불가합니다. 


[그림 7] 다운로드 주소 접속 화면



현재 알약에서는 해당 악성코드들에 대해 Trojan.Downloader.DOC.Gen, Trojan.Agent.103520N로 탐지중에 있습니다. 



[추가 업데이트]


2020년 4월 6일 오후에 국내 특정 온라인 게임 회사로 해당 유사 공격이 진행된 것이 확인되었습니다.



[그림 8] 국내 특정 게임사로 유입된 직원 활동 보너스 신청서 위장 악성코드 유포 메일 



해당 메일에 첨부된 문서를 열람할 경우 위에서 기술한 것과 동일하게 문서 내 VBA매크로가 실행되어 가짜 NHN corp. 서명을 포함하고 있는 악성코드가 실행되며, C2서버를 경유하여 추가 악성코드를 받아오게 됩니다. 


알약에서는 해당 악성코드에 대해 Trojan.Downloader.DOC.Gen Trojan.Agent.103520N 로 탐지중입니다.






티스토리 방명록 작성
name password homepage