상세 컨텐츠

본문 제목

Snake Keylogger 악성코드를 드롭하는 Word 파일, PDF에 숨겨져 배포돼

국내외 보안동향

by 알약4 2022. 5. 23. 09:00

본문

PDF smuggles Microsoft Word doc to drop Snake Keylogger malware

 

분석가들이 최근 악성코드 캠페인에서 사용자를 악성코드에 감염시키는 악성 Word 문서가 PDF 첨부 파일을 통해 밀수되는 것을 발견했습니다.

 

대부분의 악성 이메일은 악성코드 로딩 매크로 코드가 포함된 DOCX 또는 XLS 파일을 첨부하고 있기 때문에, PDF를 사용하는 것은 이례적입니다.

 

하지만 더 많은 사람들이 악성 Microsoft Office 첨부 파일을 여는 것에 대한 교육을 받게 된 후, 공격자는 탐지를 피해 악성 매크로를 배포하기 위해 다른 방법을 사용하기 시작했습니다.

 

HP Wolf Security의 연구원들은 새로운 보고서를 통해 피해자의 컴퓨터에 인포 스틸러 악성코드를 다운로드하여 설치하는 악성 매크로가 포함된 문서가 어떻게 PDF를 통해 전송되고 있는지 설명했습니다.

 

PDF Word 문서 내장 시켜

 

HP Wolf Security가 목격한 캠페인에서 이메일을 통해 전달되는 PDF 파일의 이름은 "Remittance Invoice"이며 이메일 본문에는 수신자에게 돈을 지불해 주겠다는 내용이 포함된 것으로 추측됩니다.

 

PDF가 열리면, Adobe Reader는 사용자에게 내부에 포함된 DOCX 파일을 다시 열라는 메시지를 표시합니다.

 

공격자가 내장된 문서의 이름을 검증되었습니다(has been verified)"이라고 명명했기 때문에, Open File 프롬프트는 아래와 같이 이 파일은 검증되었습니다’”라고 표시합니다.

 

따라서 이 메시지로 인해 수신자는 Adobe가 파일이 합법적인 것으로 확인했으며 파일을 열어도 안전하다고 믿을 수 있습니다.

 

 

<이미지 출처 : https://threatresearch.ext.hp.com/pdf-malware-is-not-yet-dead/#>

<승인을 요청하는 대화 상자>

 

 

악성코드 분석가는 파서와 스크립트를 통해 PDF에 포함된 파일을 검사할 수 있었지만, 일반적인 사용자는 이러한 검사를 수행하기 어렵습니다.

 

따라서 많은 사람들이 Microsoft Word에서 DOCX 파일을 열 수 있으며, 매크로가 활성화된 경우 원격 리소스에서 RTF(서식 있는 텍스트 형식) 파일을 다운로드하여 오픈합니다.

 

 

<이미지 출처 : https://threatresearch.ext.hp.com/pdf-malware-is-not-yet-dead/#>

<RTF 파일을 가져오기 위한 GET 요청>

 

 

RTF 다운로드는 페이로드가 호스팅되는 하드코딩된 URL"vtaurl[.]com/IHytw"과 함께 Word 파일에 내장된 아래 명령의 결과입니다.

 

 

<이미지 출처 : https://threatresearch.ext.hp.com/pdf-malware-is-not-yet-dead/#>

<RTF 파일을 호스팅하는 URL>

 

 

오래된 RCE 악용해

 

해당 RTF 문서의 이름은 "f_document_shp.doc"이며 분석을 회피할 가능성이 있는 악성 OLE 개체를 포함합니다. HP의 분석가들은 임의 코드를 실행하기 위해 오래된 Microsoft Equation Editor의 취약점을 악용하려는 시도를 발견했습니다.

 

 

<이미지 출처 : https://threatresearch.ext.hp.com/pdf-malware-is-not-yet-dead/#>

<페이로드를 표시하는 복호화된 셸코드>

 

  

배포된 셸 코드는 2017 11월 수정되었지만 여전히 실제 공격에 악용되는 Equation Editor의 원격 코드 실행 취약점인 CVE-2017-11882를 악용합니다.

 

이 취약점은 공개된 즉시 해커의 관심을 끌었으며, 느린 패치로 인해 2018년 가장 많이 악용된 취약점 중 하나입니다.

 

RTF의 셸 코드는 CVE-2017-11882를 악용하여 강력한 지속성, 방어 회피, 크리덴셜 접근, 데이터 수집, 데이터 유출 기능을 갖춘 모듈식 정보 스틸러인 Snake Keylogger를 다운로드 및 실행합니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ‘Trojan.Downloader.PDF.Agent’로 탐지 중입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/pdf-smuggles-microsoft-word-doc-to-drop-snake-keylogger-malware/

https://threatresearch.ext.hp.com/pdf-malware-is-not-yet-dead/#

 

관련글 더보기

댓글 영역