lazarusholic

2021-02-03, Ahnlab
https://asec.ahnlab.com/ko/20057

‘2021년 국방부 업무보고 수정’ 문서로 위장한 악성코드 유포
1월 24일 ASEC에서는 ‘2021년 국방부 업무보고 수정’문서로 위장하여 악성코드가 함께 유포된 정황을 확인하였다. 해당 악성코드의 확장자는 아래와 같이 *.pif로 만들어져 유포되었으며 이는 EXE 확장자와 같은 실행 가능한 파일이다. 파일 실행 시 아래의 그림과 같이 현재 국방부 홈페이지에서 제공하는 정상 PDF 문서의 내용과 동일한 파일이 사용자에게 보여진다. 하지만, 정상 PDF 문서파일과 함께 (사용자 모르게) 악성 파일(DLL형식)이 생성 및 실행되는 구조를 갖는다.
- 유포 파일 명
- 2021년 국방부 업무보고 수정.pif
- 생성 파일
- %원본파일 경로%\2021년 국방부 업무보고 수정.pdf (정상문서)
- C:\ProgramData\Intel\Driver\driver.cfg (악성 DLL 파일)
생성된 정상 ‘2021년 국방부 업무보고 수정.pdf’
실제 국방부 홈페이지에 업로드 된 문서와 같은 내용으로 유포
생성된 악성 DLL 파일은 regsvr32.exe를 통해 실행되며 아래 그림과 같이 ‘Disk0’이라는 명으로 스케줄 등록되어 30분마다 실행된다.
30분 단위로 실행될 수 있도록 스케줄 등록
2021년 1월 23일 컴파일 된 악성 DLL
최종적으로 C2접속 후 공격자로부터 명령을 받아 추가 악성 행위가 수행될 것으로 보인다.
현재 해당 악성 파일은 아래와 같이 V3에서 진단 중이다.
[파일 진단]
- Downloader/Win64.Agent.C4318031
- Trojan/Win64.Agent.C4318029
447163d776b62bf0b1c652c996cc0586
7e041b101e1e574fb81f3f0cdf1c72b8
http[:]//exchange[.]amikbvx[.]cf/
http[:]//imap[.]pamik[.]cf/

447163d776b62bf0b1c652c996cc0586
7e041b101e1e574fb81f3f0cdf1c72b8
http://exchange.amikbvx.cf/
http://imap.pamik.cf/