실행되는 문서는 군사, 통일 관련 내용 담아…백신 종류별 다른 스크립트 다운로드 돼
[보안뉴스 김영명 기자] 최근 배치 파일(*.bat) 형태의 악성코드가 유포되고 있는 것이 확인됐다. 해당 악성코드는 사용자 환경에 설치된 백신 프로세스에 따라 다양한 스크립트를 다운로드한다. 악성코드가 사용하는 함수명, 다운로드 URL 파라미터 등으로 볼 때 북한 김수키 해킹그룹에서 유포한 것으로 추정된다.
![[보안뉴스 / 7.6.] 문서 뷰어로 위장한 악성 배치 파일 유포 중... 또 다시 김수키 조직 소행?](http://www.boannews.com/media/upFiles2/2023/07/610370604_8854.jpg)
▲확인되는 다양한 정상 문서[자료=안랩 ASEC 분석팀]
안랩 ASEC 분석팀에 따르면, 해당 악성코드의 정확한 유포 경로는 확인되진 않았으나 이메일을 통해 유포되는 것으로 보인다. 확인된 배치 파일의 파일명은 워드, 한글 등 문서 프로그램의 뷰어로 보이도록 위장했다.
배치 파일 실행 시 explorer 명령어를 통해 구글 드라이브 및 독스에 접속한다. 이를 통해 구글 독스 및 드라이브에 업로드된 문서 파일이 실행돼 뷰어 프로그램을 실행한 것처럼 보이도록 했다. 실행되는 문서는 대부분 군사, 통일 관련 내용을 담고 있다. 그 이후 wmic 명령어를 사용해 다양한 백신 프로세스를 확인한다. 공격자는 사용자 환경에서 실행 중인 백신 프로세스 종류에 따라 다른 스크립트를 다운로드한다.
![[보안뉴스 / 7.6.] 문서 뷰어로 위장한 악성 배치 파일 유포 중... 또 다시 김수키 조직 소행?](http://www.boannews.com/media/upFiles2/2023/07/610370604_6156.jpg)
▲확인된 문서 제목 및 URL[자료=안랩 ASEC 분석팀]
공격자는 기본 문서 템플릿인 Normal.dotm을 교체하기 위해 워드 프로세스를 종료하고 특정 링크에서 dotm 파일을 다운로드해 Normal.dotm을 교체한다. 다운로드된 Normal.dotm에는 cmd.exe를 숨김창으로 실행하는 VBA 코드가 삽입돼 있다. 현재는 단순히 cmd.exe를 실행하지만, 공격자의 의도에 따라 다양한 명령어가 실행될 수 있다. 그 이후 특정 링크에서 video.vbs를 다운로드한 후, 지속해서 실행될 수 있도록 레지스트리에 ‘AutoRun’ 이름으로 등록하는 과정까지 수행하고 있다.
video.vbs 파일은 실행 시 Microsoft 폴더에 ‘qwer.gif’가 존재하면 ‘qwer.bat’으로 파일명을 변경한 후 실행하고 ‘qwer.gif’가 존재하지 않으면 특정 링크에서 다운로드해 실행한다. 또한, 공격자는 추가 스크립트를 다운로드해 다운로드 된 스크립트가 지속적으로 실행될 수 있도록 시작 프로그램 폴더에 onenote.vbs 명으로 저장하는 것으로 분석됐다.
공격자는 특정 링크에서 추가 스크립트를 다운로드해 다운로드 된 스크립트가 지속해서 실행될 수 있도록 시작 프로그램 폴더에 onenote.vbs 명으로 저장한다. onenote.vbs 파일은 실행 시 WMI를 활용해 Win32_Battery 및 Win32_Process의 Description을 수집하고 video.vbs 파일을 다운로드 및 런키 등록을 수행한다. 또한, 특정 폴더에 존재하는 브라우저 및 이메일 관련 바로가기(*.lnk) 파일의 위치 또는 속성을 변경해 사용자가 아웃룩 및 브라우저를 실행하기 위해 해당 바로가기 파일을 클릭하면 공격자가 설정한 악성 명령어가 함께 실행된다.
이를 위해 공격자는 Desktop 폴더 내에 존재하는 브라우저 및 이메일 관련 바로가기 파일을 다른 폴더로 이동한다. 그 이후 폴더에 존재하고 특정 파일을 실행하는 바로가기 파일의 argument를 수정한다.
안랩 ASEC 분석팀에서 분석 당시 Avast 프로세스가 확인되는 경우에 다운로드 된 onenote.vbs에는 [공격자가 설정한 명령어]가 존재하지 않았지만, 공격자의 의도에 따라 다양한 악성 명령어가 실행될 수 있다. 그 이후 앞서 수집한 정보를 특정 URL로 전송한다.
안랩에서 제공하는 Ahnlab v3 프로세스가 확인되는 경우는 특정 링크에서 추가 스크립트 파일을 내려받아 시작 프로그램 폴더에 onenote.vbs 파일명으로 저장한다. 이때 다운로드 된 onenote.vbs에는 바로가기 파일 속성 변경 시 변경되는 Arguments에 포함되는 [공격자가 설정한 명령어]가 확인됐다.
![[보안뉴스 / 7.6.] 문서 뷰어로 위장한 악성 배치 파일 유포 중... 또 다시 김수키 조직 소행?](http://www.boannews.com/media/upFiles2/2023/07/610370604_4576.jpg)
▲변경된 LNK 속성[자료=안랩 ASEC 분석팀]
따라서 사용자가 브라우저 및 아웃룩의 바로가기 파일을 실행할 때마다 특정 링크에 있는 스크립트가 저장 및 실행된다. 분석 당시 해당 URL에는 윈도 창을 닫는 명령어가 존재했다. 그 이후 Kaspersky(avpui.exe, avp.exe) 및 Avast(avastui.exe, avgui.exe) 프로세스가 확인되는 경우를 제외하고 특정 링크에서 추가 스크립트를 다운로드해 appdata 폴더에 asdfg.vbs 로 저장한다. 다운로드된 asdfg.vbs 파일은 CleanupTemporaryState 명으로 작업 스케줄러에 등록해 매 41분마다 실행되도록 한다. asdfg.vbs 파일은 video.vbs와 동일하게 특정 링크에서 추가 스크립트를 다운로드해 실행한다.
안랩 ASEC 분석팀 관계자는 “분석 당시 실행 파일 다운로드 등의 행위는 존재하지 않았지만 다양한 스크립트를 다운로드해 실행하는 만큼 스크립트에 존재하는 명령에 따라 확인되지 않은 추가 악성 행위가 실행될 수 있다”며 “공격자는 기본 문서 템플릿인 Normal.dotm을 교체하고, 브라우저 및 이메일 관련 바로가기 파일을 수정했다”고 설명했다. 이어 “사용자는 워드 문서와 크롬 등 인터넷 브라우저 프로그램, 아웃룩 프로그램의 바로가기 파일 실행 시 악성 스크립트가 다운로드 될 수 있어 각별한 주의가 필요하다”고 당부했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 7.6.] 문서 뷰어로 위장한 악성 배치 파일 유포 중... 또 다시 김수키 조직 소행?](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")