한글 문서 아닌 personal.vbs라는 이름의 악성 스크립트 개체 포함돼
파워쉘 명령어 통해 특정 링크에서 한글 파일 내려받아 악성코드 실행
[보안뉴스 김영명 기자] 최근 “설문조사에 깊은 관심과 참여주셔서 감사합니다. OOO 연구소에서는 본 설문조사에 참여해주신 분들게 소정의 사례비(30만원)를 지급해드립니다”라는 내용으로 위장한 마이크로소프트(Microsoft) 원노트(OneNote) 악성코드가 유포 중인 것이 확인됐다.
▲마이크로소프트 원노트 실행시 본문 내용[자료=안랩 ASEC 분석팀]
안랩 ASEC 분석팀은 최근 확인된 파일이 LNK 유형의 악성코드와 동일한 연구소를 사칭하고 있으며 실행되는 VBS 파일의 악성 행위가 유사한 것으로 보아 동일 공격 그룹의 소행으로 확인된다고 밝혔다. 마이크로소프트 원노트 파일을 실행하게 되면 설문조사 사례비 지급 내용을 담고 있으며, 한글 문서가 첨부된 것으로 보이는 위치를 클릭하도록 유도한다.
▲숨겨져 있는 악성 스크립트[자료=안랩 ASEC 분석팀]
해당 위치에는 한글 문서가 아닌 personal.vbs 명의 악성 스크립트 개체가 숨어 있다. 사용자가 이를 클릭하면 악성 VBS 파일이 personal.vbs 명으로 임시 경로에 생성 및 실행된다. 생성된 VBS 파일의 코드는 다음과 같이 난독화된 명령어를 주석처럼 보이도록 한 후 이를 다시 읽어 복호화 후 악성 명령어를 실행한다.
▲personal.vbs 코드[자료=안랩 ASEC 분석팀]
복호화된 스크립트 코드는 최종적으로 특정 링크에 접속해 추가 스크립트 코드를 실행한다. 현재 해당 URL에는 접속할 수 없지만, URL 형식으로 보아 아래 블로그와 정보 유출 기능의 스크립트를 실행했을 것으로 추정된다. 이후 파워쉘 명령어 통해 특정 링크에서 한글 파일을 다운로드해 실행한다.
▲최종으로 실행되는 스크립트 코드[자료=안랩 ASEC 분석팀]
분석 당시 한글 문서가 다운로드되지 않았지만, 사용자에게 정상적인 문서 파일로 보이기 위해 정상 한글 문서를 다운로드했을 것으로 보인다. 또한, 원노트에 작성된 한글 파일명이 예전의 ‘개인정보이용동의서.hwp’과 동일한 파일명을 사용하고 있어 이와 유사한 양식의 한글 문서가 실행됐을 것으로 추정된다.
ASEC 분석팀 관계자는 “최근 김수키(Kimsuky) 그룹에서 워드 문서로 유포했던 악성코드를 CHM, LNK, OneNote 등 다양한 형식의 악성코드로 유포하고 있는 것이 확인돼 사용자의 각별한 주의가 필요하다”며 “해당 파일들은 주로 사례비 양식, 개인정보 양식을 위장해 메일로 유포되고 있어 사용자는 첨부파일 실행에 유의해야 한다”고 밝혔다.
[김영명 기자(boan@boannews.com)]
파워쉘 명령어 통해 특정 링크에서 한글 파일 내려받아 악성코드 실행
[보안뉴스 김영명 기자] 최근 “설문조사에 깊은 관심과 참여주셔서 감사합니다. OOO 연구소에서는 본 설문조사에 참여해주신 분들게 소정의 사례비(30만원)를 지급해드립니다”라는 내용으로 위장한 마이크로소프트(Microsoft) 원노트(OneNote) 악성코드가 유포 중인 것이 확인됐다.
▲마이크로소프트 원노트 실행시 본문 내용[자료=안랩 ASEC 분석팀]
안랩 ASEC 분석팀은 최근 확인된 파일이 LNK 유형의 악성코드와 동일한 연구소를 사칭하고 있으며 실행되는 VBS 파일의 악성 행위가 유사한 것으로 보아 동일 공격 그룹의 소행으로 확인된다고 밝혔다. 마이크로소프트 원노트 파일을 실행하게 되면 설문조사 사례비 지급 내용을 담고 있으며, 한글 문서가 첨부된 것으로 보이는 위치를 클릭하도록 유도한다.
▲숨겨져 있는 악성 스크립트[자료=안랩 ASEC 분석팀]
해당 위치에는 한글 문서가 아닌 personal.vbs 명의 악성 스크립트 개체가 숨어 있다. 사용자가 이를 클릭하면 악성 VBS 파일이 personal.vbs 명으로 임시 경로에 생성 및 실행된다. 생성된 VBS 파일의 코드는 다음과 같이 난독화된 명령어를 주석처럼 보이도록 한 후 이를 다시 읽어 복호화 후 악성 명령어를 실행한다.
▲personal.vbs 코드[자료=안랩 ASEC 분석팀]
복호화된 스크립트 코드는 최종적으로 특정 링크에 접속해 추가 스크립트 코드를 실행한다. 현재 해당 URL에는 접속할 수 없지만, URL 형식으로 보아 아래 블로그와 정보 유출 기능의 스크립트를 실행했을 것으로 추정된다. 이후 파워쉘 명령어 통해 특정 링크에서 한글 파일을 다운로드해 실행한다.
▲최종으로 실행되는 스크립트 코드[자료=안랩 ASEC 분석팀]
분석 당시 한글 문서가 다운로드되지 않았지만, 사용자에게 정상적인 문서 파일로 보이기 위해 정상 한글 문서를 다운로드했을 것으로 보인다. 또한, 원노트에 작성된 한글 파일명이 예전의 ‘개인정보이용동의서.hwp’과 동일한 파일명을 사용하고 있어 이와 유사한 양식의 한글 문서가 실행됐을 것으로 추정된다.
ASEC 분석팀 관계자는 “최근 김수키(Kimsuky) 그룹에서 워드 문서로 유포했던 악성코드를 CHM, LNK, OneNote 등 다양한 형식의 악성코드로 유포하고 있는 것이 확인돼 사용자의 각별한 주의가 필요하다”며 “해당 파일들은 주로 사례비 양식, 개인정보 양식을 위장해 메일로 유포되고 있어 사용자는 첨부파일 실행에 유의해야 한다”고 밝혔다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
