상세 컨텐츠

본문 제목

사용자 정보를 수집하는 악성 워드 파일 주의

악성코드 분석 리포트

by 알약4 2022. 5. 18. 13:19

본문

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
주 대한민국 호주 공사 및 공관차석 알렉산드라 씨들의 이력이 적힌 악성 워드파일이 유포되어 사용자들의 주의가 필요합니다. 

피싱 메일 내 첨부파일을 통해 악성 매크로가 포함된 워드파일 형태로 유포된 것으로 보이며, 공격 목표는 특정인 혹은 특정 집단일 것으로 추정됩니다.

워드파일을 실행하면 워드파일을 업데이트 하라는 문구가 뜨며, [콘텐츠 사용] 버튼을 활성화 하도록 유도합니다. 

 

 

[그림 1] [콘텐츠 사용] 버튼 클릭을 유도하는 화면

 


[콘텐츠 사용] 버튼이 기본적으로 비활성화 되어있는 것은 내부에 매크로 코드가 포함되어 있는 경우 자동으로 실행되는 것을 방지하기 위한 보호조치 입니다. 이 때문에 공격자들은 사용자로 하여금 [콘텐츠 사용] 버튼을 누르도록 유도하여 공격자가 내부에 심어놓은 매크로 코드가 정상적으로 실행되도록 합니다.

그렇기 때문에, 사용자 여러분들께서는 [콘텐츠 사용] 버튼을 누르기 전 반드시 각별한 주의를 기울여야 합니다.

만일, 사용자가 [콘텐츠 사용] 버튼을 눌러 매크로 기능을 활성시키면, 마치 정상적인 워드 파일처럼 위장한 워드 파일 내용이 보여짐과 동시에, 백그라운드에서 악성 매크로가 실행됩니다. 

 

 

[그림 2] 정상 문서처럼 위장한 악성 워드파일

 

 

[그림 3] 워드파일 내부에 포함되어 있는 악성 매크로 코드

 

 

매크로에서 mshta로 공격자가 미리 지정해 놓은 C&C서버 hxxp://weworld59.myartsonline[.]com/h.php에 접속합니다. 

 

 

[그림 4] 프로세스 트리

 

[그림 5] h.php 코드

 

 

접속 후에는 사용자 PC에 설치되어 있는 백신 종류, 최근 접근한 파일/폴더/문서 리스트, 사용자이름, 운영체제 종류 및 버전, MS 오피스 버전, 닷넷 프레인워크 버전, 바탕화면 바로가기 리스트, 빠른실행 아이콘 리스트 등의 사용자 정보를 서버로 전달합니다. 

 

 

백신 프로세스 리스트
avguard.exe
avscan.exe
agentsvc.exe
avpui.exe
avp.exe
scs.exe
ekrn.exe
msseces.exe
avgui.exe
avgsvc.exe
wrsa.exe
bdagent.exe

 

​백신 서비스 리스트
antivirservice
psuaservice
mbam
savservice
nortonsecurity
ntrtscan
tmrhea
tmwscsvc
coreserviceshell
mcshield
avastui
ccsvchst
avg antivirus
sbamtray
sbamsrv
productagentservice ​



[그림 6] 사용자 정보 전달 악성코드

 

 

이외에도 추가 접속하는 서버가 존재하였지만, 분석 시점에서는 해당 파일의 확인이 불가하여 더 이상의 분석이 불가능 하였습니다.

이번 공격의 위협 벡터를 종합적으로 볼 때, 페이크스트라이커(Fake Striker) APT 캠페인의 연장선으로 추정되며, 더 정교한 후속 공격을 위하여 다양한 사용자 정보를 탈취하는 것으로 추측됩니다.

 

현재 알약에서는 해당 악성코드에 대해 Trojan.Downloader.DOC.Gen, Trojan.Script.Agent로 탐지중에 있으며, 추가 공격에 대해서도 지속적인 모니터링 중에 있습니다. 

 

 

C&C정보

hxxp://weworld59.myartsonline[.]com/h.php
hxxp://weworld59.myartsonline[.]com/s.php
hxxp://weworld59.myartsonline[.]com/info.php

 

 




 

관련글 더보기

댓글 영역