상세 컨텐츠

본문 제목

원노트(.one) 파일을 통한 악성코드 유포 급증 주의!

악성코드 분석 리포트

by 알약4 2023. 2. 8. 10:52

본문



안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
원노트 파일(.one)을 활용한 공격은 올해 1월 중순부터 등장하기 시작하였으며, 현재까지 지속되고 증가 추세를 보이고 있습니다. 

 

전 세계 사용자들을 대상으로 공격이 진행되고 있으며, 국내 사용자를 타깃으로 한 공격시도도 급증하고 있어 사용자들의 각별한 주의가 요구됩니다.


원노트 파일의 경우 MS office에 적용된 제한된 보기 및 윈도우의 기본 보호 매커니즘 중 하나인 MOTW(Mark-of-the-Web)의 영향을 받지 않습니다. 

뿐만 아니라 원노트 파일 내 VBS, WSF, HTA 등의 파일 형식의 포함을 허용합니다. 이러한 형식의 파일을 실행할 때 특정 경고창을 띄우긴 하지만 사용자들은 일반적으로 이러한 경고창에 개의치 않고 '확인'을 눌러 악성스크립트가 실행되게 됩니다. 

 

[그림 1] 정상 이메일을 하이재킹 하여 공격에 활용한 악성 메일

 

 

공격자는 사용자의 신뢰를 얻기 위하여 이메일 하이재킹 방식을 이용하여, 기존에 공격 타깃이 다른 사람과 주고받았던 정상 이메일 내 악성파일을 첨부파여 전달하는 방식으로 악성 메일을 전송합니다. 

 

수상한 이메일 내용 하단에 정상 이메일의 내용이 포함되어 있기에 많은 사용자들이 큰 의심없이 첨부파일을 실행할 가능성이 높습니다. 

 

 

[그림 2] Open 버튼의 더블 클릭을 유도하는 화면

 

 

사용자가 이메일에 첨부되어 있는 원노트 파일을 실행하면 다음과 같은 화면이 보이며 [Open] 버튼을 더블클릭 하라고 안내합니다. 

 

[Open] 버튼 하단에는 악성 명령어가 포함된 hta 파일이 숨겨져 있으며, 한번 클릭하였을 때에는 hta 파일이 실행되지 않지만, 더블 클릭 할 경우 하단에 숨겨져 있던 hta 파일이 선택되며 실행되게 됩니다. 

 

 

[그림 3] Open 버튼 뒤에 숨겨져 있는 악성 hta 파일

 

 

[그림 4] .hta 파일 실행 시 뜨는 경고창

 

 

만약 사용자가 원노트 파일에서 띄우는 경고창을 무시하고 [확인] 버튼을 누른다면, hta 파일 내 악성 명령어가 정상적으로 실행되게 됩니다. 

 

 

[그림 5] .hta 파일 내 파일 다운로드 명령어

 

 

파일이 실행되면 공격자 서버에 접속하여 .dat 파일을 내려받는데, 해당 파일은 정상 파일에 악성 데이터를 인젝션 하여 최종적으로 QBot 악성코드를 실행합니다.

 

QBot 악성코드는 사용자 PC 내에서 실행 후 사용자 정보 수집 및 전송할 뿐만 아니라, C&C를 통하여 추가적으로 악성코드를 내려받을 수 있어 주의가 필요합니다. 

 

현재 알약에서는 해당 악성파일들에 대해 Trojan.Downloader.Script.gen로 탐지중에 있으며 지속적인 모니터링 중에 있습니다. 

 

 

IoC

a24cf20d48d99fa5026d1f0ecd6f20d3
bf2fcea6984cabfd4e5e64b3d79cc4de

a96285705694d055e73bdcfb89483ee3

 

 

관련글 더보기

댓글 영역