lazarusholic

2020-07-01, Ahnlab
https://asec.ahnlab.com/1341
#Konni

안랩 ASEC은 악의적인 매크로를 포함하여 사용자 정보를 유출하는 엑셀 파일을 수집하였다. 해당 엑셀 문서는 사용자에게 매크로를 사용하도록 유도하고, 매크로를 실행시키면 ‘방문판매법위반 방조로 벌금을 내라’는 법원 판결이 관련된 내용을 포함한 엑셀 문서를 다시 실행시켜 사용자가 감염 사실을 인지하기 어렵게 한다. 악성코드 동작방식이 코니 (KONNI) 조직으로 알려진 APT 공격그룹에서 사용한 것과 유사한 특징을 갖는다.
[파일 정보]
● 파일 타입: 엑셀 문서
● MD5: 4af8906f903f5de0ea98d3e323ee869c
● SHA256: 83478fb5d4eadb2111688953ee6cea831626a6201bdd181b4c3f92e25b129e56
두 번째 엑셀의 매크로까지 실행될 경우 첫 번째 엑셀에서 다운로드된 파일들이 순차적으로 실행되며, 사용자 정보 탈취 및 추가 파일이 다운로드 가능하다.
악성코드의 전체 실행 순서는 아래 그림과 같다.
해당 악성코드의 실행 순서는 기존에 공개되었던, Operation Moneyholic의 KONNI그룹의 기법으로 최초 공격 벡터인 문서 포맷이 한글에서 엑셀 문서로 변경된 차이만 있다.
엑셀 문서에 대한 상세 분석 내용은 아래와 같다.
첫 번째 엑셀 파일의 매크로가 실행되면 악성 유포지에서 4개 파일을 FSO.GetSpecialFolder(2) 경로(%temp%)에 다운로드한다.
다운로드 주소는 아래와 같다.
● view-naver.com/xls/no1[.]txt
● view-naver.com/xls/mo1[.]txt
● view-naver.com/xls/vbs[.]txt
● view-naver.com/xls/temp2[.]xls
파일 다운로드 후 temp2.xls(판결 관련 내용이 포함된 엑셀)을 실행하고 자기 자신 문서는 종료한다. 두 번째 엑셀(temp.xls) 파일 또한 …

4af8906f903f5de0ea98d3e323ee869c
83478fb5d4eadb2111688953ee6cea831626a6201bdd181b4c3f92e25b129e56
http://view-naver.com/xls/mo1.txt
http://view-naver.com/xls/no1.txt
http://view-naver.com/xls/temp2.xls
http://view-naver.com/xls/vbs.txt