lazarusholic

2023-01-10, Ahnlab
https://asec.ahnlab.com/ko/45537/

ASEC 분석팀은 01월 08일 안보 분야 종사자를 대상으로 원고 청탁서로 위장한 문서형 악성코드 유포 정황을 확인하였다. 확보된 악성코드는 워드 문서 내 External 개체를 통해 추가 악성 매크로를 실행한다. 이러한 기법은 템플릿 인젝션(Template Injection) 기법으로 불리며 이전 블로그를 통해 유사한 공격 사례를 소개한 바 있다.
워드 문서를 실행하면 공격자 C&C 서버로부터 추가 악성 워드 매크로 문서를 다운로드 받아 실행한다. 추가로 실행되는 매크로는 사용자가 백그라운드에서 매크로 코드가 실행되는 것을 눈치채지 못하게 하기위해 정상 문서 파일도 함께 실행되도록 작성되어 있다.
공격자가 함께 유포한 정상 문서 파일은 원문은 한글로 작성되어있지만, 중국어 글꼴도 함께 포함되어 있어 공격자는 중국어 워드 환경을 사용하는 것으로 추정된다.
정상 문서 실행 후에는 정보 유출 스크립트를 다운받아 실행하며 스크립트의 기능은 아래 정보들을 C&C 서버로 유출한다.
- 감염 PC 시스템 정보
- 최근 열어본 워드 문서 목록
- 시스템 내 다운로드 폴더 경로 정보
- IE 관련 레지스트리키 수정
- C&C 서버 연결 지속성을 위한 작업 스케줄러 등록
- 시스템에 설치된 바이러스 백신 정보
특히 공격자 C&C 서버 IP(112.175.85.243)는 지난 01월 03일 …

112.175.85.243
2244f8798062d4cef23255836a2b4569
2c9d6f178f652c44873edad3ae98fff5
3fe5ce0be3ce20b0c3c9a6cd0dae4ae9
68e79490ed1563904791ca54c97b680a
dd954121027d662158dcad24c21d04ba
f22899abfa82e34f6e59fa97847c7dfd
http://lifehelper.kr/gnuboard4/bbs/img/upload/list.php?query=1
http://lifehelper.kr/gnuboard4/bbs/img/upload/temp.docx
http://lifehelper.kr/gnuboard4/bbs/img/upload/temp.dotm
http://lifehelper.kr/gnuboard4/bbs/img/upload1/list.php?query=1
http://lifehelper.kr/gnuboard4/bbs/img/upload1/temp.docx
http://lifehelper.kr/gnuboard4/bbs/img/upload1/temp.dotm