포스팅 내용

악성코드 분석 리포트

'국내 암호화폐 거래소 신입사원 인력양식' 으로 위장한 악성메일 주의!



안녕하세요.

이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 이메일을 통해 '국내 암호화폐 거래소 신입사원 인력양식'이라는 파일명으로 악성코드가 유포중임이 확인되었습니다.


공격자는 ‘OOOOO신입 사원 입력 양식’이라는 제목의 악성문서를 통해 사용자의 문서 열람&실행을 유도합니다.


이 악성문서가 실행되면, 정상적인 MS오피스 다운로드 주소처럼 속인 가짜 경로로부터 악성 매크로가 담긴 ‘dotm’ 문서 파일을 추가 다운로드 및 실행합니다.


이 형태는 지난 4월에 직원 상여금 발급청구서로 위장하여 유포되었던 케이스와 거의 유사합니다. 




[그림 1] ‘upbit 신입 사원 입력 양식.docx’ 실행 화면


내장된 매크로 코드는 C&C(https://products-msofficeclient.office.microsoft.office-microsoft.cc/2.html)로부터 html 파일을 다운로드하는 기능을 가지고 있습니다. 


추가 다운로드 데이터인 ‘MicrosoftEdgeUpdate.exe’와 ‘msedgeupdate.dll’는 Base64로 인코딩되어 있습니다. 

인코딩된 추가 데이터의 디코딩 및 실행을 위해 다이얼로그 박스를 이용하며, ‘UserForm’을 숨김으로 설정하여 사용자의 의심을 회피하고 있습니다.


추가 파일은 ‘C:\Users\Public\Documents\’ 하위 ‘MicrosoftEdgeUpdate.exe’, ‘msedgeupdate.dll’ 파일 명으로 생성됨을 확인했습니다.


 

[그림 2] ‘2.html’ 로드 코드


아래는 ‘2.html’ 파일 내용 일부입니다. 


 

[그림 3] 인코딩된 ‘msedgeupdate.dll’가 포함된 ‘2.html’



‘MicrosoftEdgeUpdate.exe’ 실행 코드는 아래와 같습니다.


 

[그림 4] 드롭된 ‘MicrosoftEdgeUpdate.exe’ 실행 코드



이 프로그램은 ‘Windows Edge’ 업데이트 프로그램으로써 악성코드인 ‘msedgeupdate.dll’을 로드하는 기능에 악용됩니다.



[그림 5] ‘msedgeupdate.dll’ 로드 코드



‘msedgeupdate.dll’은 XOR 연산으로 은폐된 코드를 디코딩하여 실행합니다. 또한 이 코드는 사전에 세팅된 공격자 서버로부터 추가 페이로드 다운로드 기능을 수행하기도 합니다. 



[그림 6] 은폐된 코드를 xor 연산하는 코드



[그림 7] 페이로드 다운을 위한 C&C(‘han.naver2020.me’) 연결 화면



이렇게 C&C로부터 원격 제어 기능을 가지는 CobaltStriker 악성코드가 다운로드 및 실행되면, 감염된 PC의 기본 정보(현재 실행 프로세스, 아이피 정보, 사용자명, 컴퓨터명)을 인코딩하여 쿠키 값으로 정보를 전송합니다.



[그림 8] 쿠키 값으로 정보를 전송하는 화면



공격자들은 지속적으로 특정 타깃을 대상으로 공격을 시도하고 있으므로 일단 출처가 불분명한 메일을 열람시 반드시 주의를 기울여야 하며, 특히 첨부파일 열람은 되도록 삼가해야 합니다.


알약에서는 해당 악성코드에 대해 Trojan.Downloader.DOC.Gen / Trojan.Agent.103520N 로 탐지중입니다.




티스토리 방명록 작성
name password homepage