[보안뉴스 / 4.5.] 해킹그룹 비터, 중국 기관 타깃 APT 공격... CHM 악성코드 유포중

MS 워드 또는 엑셀 등 오피스 문서 이용해 악성코드 공격하는 특징 보여

[보안뉴스 김영명 기자] 주로 남아시아 정부기관을 대상으로 하는 해킹그룹인 비터(Bitter, T-APT-17)가 중국의 특정 기관을 타깃으로 CHM 악성코드를 유포한 정황이 확인됐다. 해당 조직은 악성코드 유포에 마이크로소프트 워드(Word)나 엑셀(Excel) 등 주로 MS Office 문서를 이용해 왔으며, 그 가운데서도 CHM 파일은 올해 초부터 다양한 해커그룹에서 APT 공격에 이용하고 있는 것으로 드러났다.

[보안뉴스 / 4.5.] 해킹그룹 비터, 중국 기관 타깃 APT 공격... CHM 악성코드 유포중

▲CHM 실행 시 화면[자료=안랩 ASEC 분석팀]

안랩 ASEC 분석팀에 따르면, 이번 공격에 사용된 CHM은 이메일의 첨부 파일을 통해 유포되고 있으며, 첨부 파일은 압축된 형태다. 압축 파일 내부에는 CHM 파일이 존재하며 현재까지 확인된 파일명은 △Project Plan 2023 .chm △Urgent passport enquiry of the following officials.docx.chm △SUSPECTED FOREIGN TERRORIST FIGHTERS.chm △Forensic Evidence on Crime Scene.chm △Patches updates.chm △Ticktes.chm △KC_16.11.chm 등이다.

해당 CHM 파일을 실행하면 대부분은 빈 도움말 창을 생성하지만, 일부는 ‘중국 중앙통일전선부’ 및 ‘중국 러시아 평화 개발 위원회’ 등과 관련된 내용을 확인할 수 있다. 해당 유형의 CHM에서 확인되는 내부 악성 스크립트를 봤을 때 사용자는 악성 스크립트의 동작 과정을 인지하기 어렵다고 볼 수 있다. 해당 스크립트의 공통적인 특징으로는 바로가기 객체를 실행하는 Click 메서드가 존재하는 스크립트 부분이 난독화돼 있다는 점이다. 이는 난독화를 통해 보안 솔루션의 정적 진단을 회피하려는 것으로 추정된다.

▲악성 스크립트 유형[자료=안랩 ASEC 분석팀]

스크립트가 동작하게 되면 악성 명령어를 실행하는 작업을 생성하게 된다. 악성 명령어는 각각 특정 주소에 접속해 추가 악성 파일을 실행하게 된다. 해당 주소는 현재 모두 접근이 불가능하지만, 첫 번째 주소에서 다운로드되는 것으로 추정되는 MSI 파일을 확인했다고 안랩 ASEC 분석팀은 밝혔다.

MSI 파일은 실행했을 때 정상 exe 파일과 악성 DLL을 생성 후 exe 파일을 동작하게 한다. 생성되는 파일은 MicrosoftServices.exe 및 OLMAPI32.dll 파일 등이며, MicrosoftServices.exe가 실행되면 OLMAPI32.dll이 로드되는 형태이다. 로드되는 DLL은 공격자가 제작한 악성 파일로 DLL Side-Loading 기법(T1574.002)을 이용했다.

로드된 악성 DLL의 기능은 특정 명령어들을 통해 사용자 정보를 수집한 후 ‘c:\Users\Public\cr.dat’ 파일에 해당 정보를 저장한다. 그 이후 지속성을 위해 ‘Microsoft Update’ 명으로 MicrosoftServices.exe를 실행하는 작업을 생성한다. 추가로, 특정 명령제어(C2) 서버에 접속을 시도하며 공격자의 명령에 따라 다양한 악성 행위를 수행할 수 있다.

▲작업 스케줄러[자료=안랩 ASEC 분석팀]

안랩 ASEC 분석팀은 “최근 국내외에서 CHM 파일을 이용한 공격이 증가하고 있으며, 다양한 악성코드에서 사용되고 있다”며 “사용자는 메일의 수신자를 상세하게 확인해야 하며 출처가 불분명한 파일의 경우 열람을 자제해야 한다”고 말했다. 이어 “PC 점검을 주기적으로 진행하고 보안 제품을 항상 최신으로 업데이트하는 것이 필요하다”고 덧붙였다.
[김영명 기자(boan@boannews.com)]