북한·국방·방송을 키워드로 활발하게 유포 중인 BAT 스크립트 포함한 악성 한글문서 분석

[보안뉴스 원병철 기자] 최근 MS 오피스의 제로데이 취약점인 ‘폴리나(Follina)’를 악용한 공격이 기승을 부리고 있는 가운데, 한글 문서의 정상기능을 악용한 APT 공격이 유포되고 있어 사용자들의 주의가 요구된다.

[보안뉴스 / 6.12.] 한글문서 ‘OLE 개체 연결 삽입’ 기능 악용한 APT 문서 유포

[이미지=utoimage]

안랩 ASEC 분석팀은 한글 문서의 정상 기능(OLE 개체 연결 삽입)을 악용하는 APT 문서가 최근 활발하게 유포 중인 것을 확인했다고 밝혔다. 지난 3월 3일 알려진 ‘20대 대통령선거 선상투표 보도자료 가장한 악성 한글문서 유포’ 사례 이후로 공격자는 국방, 대북, 방송 관계자들을 대상으로 지속적으로 악성 한글 문서를 유포하고 있다.

악성 한글 문서의 동작 방식은 한글 문서 안에 삽입된 OLE 개체(배치파일)가 실행되고, 이후 파워쉘을 통해 쉘코드를 정상 프로세스에 인젝션해 동작한다. 이때 공격자는 OLE 개체가 실행될 수 있도록 사용자의 본문 클릭을 유도하는 문구를 주로 삽입한다.

아래의 한글 문서 목록은 이러한 동작 방식으로 유포된 악성 한글 문서의 파일명이다. 공격은 국방, 대북, 방송 관계자 대상으로 수행됐으며 유포는 PC 메신저와 웹 브라우저을 통해 다운로드되는 정황이 확인됐다.

· 검토용_정치의 이해 6교(수정반영본)_20220507.hwp (2022.05.10)
· 동평연 입회신청서(2022).hwp (2022.05.11)
· 혁신수업질문지.hwp (2022.05.18)
· 북한 코로나 사태 분석.hwp (2022.05.20)
· 동평연 입회신청서(김XX).hwp (2022.05.20)
· 김XX이력서.hwp (2022.05.20)
· 2022년도 공고문 주요 부분 발췌.hwp (2022.05.23)
· (연구자문위원회)_국회미래연구원_연구과제_수요조사.hwp (2022.05.25)
· 8교_완료_정치의 이해_편집자.hwp (2022.05.26)
· 220530- 혁신수업질문지.hwp (2022.05.30)
· 2022년 제13기 장학생 지원 신청서(교육비).hwp (2022.05.30)
· 국방부학술회의진행순서.hwp (2022.06.02)
· 2022-0626 하성란 – 누가 울어.hwp (2022.06.07)

6월 7일에 수집된 ‘2022-0626 하성란 – 누가 울어.hwp’의 내부 배치 파일 스크립트를 살펴보면, 배치 파일의 스크립트는 난독화 상태로 존재하지만, 최종적으로 파워쉘을 통해 쉘코드를 윈도우 정상 프로세스에 인젝션하는 기능을 수행한다.

특히, 지난 3월 3일에 공개된 ‘20대 대통령선거 선상투표 보도자료 가장한 악성 한글문서 유포’ 파일의 변수명과 구동 방식이 동일하여 같은 그룹의 공격 소행으로 추정된다.

· 사용된 파워셀 변수명 일치 : $ttms, $eruk2
· 날짜별 파워쉘 커맨드 명령 비교 (코드 유사성)
-> 03월 03일 : $kkx9=[DllImport(“user32.dll”)] public static extern bool ShowWindow(int handle, int state);
-> 06월 07일 : $kkp8=@” [DllImport(“user32.dll”)] public static extern bool ShowWindow(IntPtr a, uint b);”@;

최종 복호화 파워쉘 코드는 아래와 같다. 한글 본체 파일 하단의 쉘코드를 읽어 윈도우 정상 help.exe 프로세스에 인젝션을 수행한다.

[보안뉴스 / 6.12.] 한글문서 ‘OLE 개체 연결 삽입’ 기능 악용한 APT 문서 유포

 

[보안뉴스 / 6.12.] 한글문서 ‘OLE 개체 연결 삽입’ 기능 악용한 APT 문서 유포

▲최종 복호화 파워쉘 코드[자료=안랩 ASEC 분석팀]

과거의 악성 한글 문서는 주로 포스트 스크립트(Post Script) 취약점을 이용해 APT 한글 문서를 유포했지만, 최근에는 한글 문서의 정상 기능을 사용해 유포하고 있다. 두 방식의 차이점은 취약점의 경우 사용자의 개입 없이 악성 쉘코드가 실행되는 반면, OLE 개체 이용 방식은 사용자의 개입(클릭)을 통해 악성 행위가 발현된다.

2017년 2월 이후로 공식적으로 한컴 오피스에서는 포스트 스크립트 취약점에 대한 보안 업데이트를 배포하고, EPS 파일 삽입 및 보기 기능을 제거했다. 따라서 공격자는 최신 버전의 한컴 오피스 사용자 환경에서도 악성 행위가 발현될 수 있도록 OLE 개체를 악용해 악성 문서를 배포하는 것으로 추정된다.

안랩 ASEC 분석팀은 “현재까지 확인된 유포 경로는 웹 브라우저를 통해 악성 한글 문서가 다운로드 되거나 PC 메신저를 통해 문서가 유포되는 사례가 확인됐다”면서, “따라서 사용자는 출처가 불분명한 게시글의 첨부파일 열람을 자제하고, 신원미상의 사용자로 부터 PC 메신저를 통해 문서를 다운로드 및 열람하지 않도록 각별히 주의해야 한다”고 조언했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>