Home > 전체기사
‘북한의 회색지대 전략과 대응방안’ 제목의 악성 한글문서 유포 중
  |  입력 : 2020-07-03 17:52
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
안랩 ASEC 분석팀, CVE-2017-8291 취약점 악용한 악성문서 공개

[보안뉴스 원병철 기자] 최근 ‘북한의 회색지대 전략과 대응방안’이란 이름의 악성코드가 담긴 한글 문서가 유포 중인 것이 확인돼 관련자들의 주의가 요구된다. 안랩 ASEC 분석팀은 이 한글문서가 2019년 10월 21일에 작성됐으며, 2020년 6월 23일에 공격자에 의해 수정된 것으로 추정되고, 해당 문서를 저장한 사람은 Venus.H로 확인됐다고 밝혔다.

▲악성코드가 담긴 ‘북한의 회색지대 전략과 대응방안’ 한글문서[자료=안랩]


이 한글문서의 문서정보를 확인하면, 내용 작성 날짜와 마지막 저장한 날짜, 마지막 저장한 사람을 확인할 수 있다.

▲악성문서의 문서 정보[자료=안랩]


한글 문서 파일을 열면 취약한 내부에 있는 악성 포스트스크립트(EPS)가 동작해 악성의 기능을 수행하게 된다. 해당 EPS는 CVE-2017-8291 취약점을 발생시켜 내부 코드를 실행하도록 한다.

▲악성 EPS 파일[자료=안랩]


EPS 파일은 gbb.exe에 의해 실행되며, 취약점에 의해 EPS 내부의 셸코드가 실행된다. 이 셸코드는 먼저 정상 프로세스인 HimTray.exe 또는 HncCommTCP.exe에 인젝션(Injection)을 시도하며, 없을 시에는 cmd.exe를 실행시키고 인젝션을 수행한다. 해당 프로세스에 인젝션된 셸코드는 다시 userinit.exe를 실행하고 실제 악성코드를 인젝션한다.

악성코드는 최종적으로 userinit.exe의 메모리에서 동작하며 정보유출 기능을 수행한다. 실행 시 먼저 현재 환경이 가상 머신인지 여부를 검사하는 Anti VM 루틴을 지나서, %TEMP% 경로에 정보 수집 명령을 담당하는 Batch 파일(a_[랜덤].bat)을 생성하고 실행시킨다. 테스트 환경에서는 a_4aff.bat 이름으로 생성됐다.

▲정보 수집 명령이 들어 있는 Batch 파일[자료=안랩]


이 명령을 통해 AppData\Roaming\Microsoft\Network 경로의 xyz 파일에 위의 명령 결과값 즉 사용자의 여러 정보들이 모아진다.

-최근 사용 파일
-설치된 프로그램 목록
-시스템 정보
-현재 실행 중인 프로세스들 및 모듈들

이렇게 수집된 정보는 C&C 서버에 업로드된다. 업로드 이후에는 동일 경로에 xyz.dll을 다운로드 받고 로드하는 루틴도 존재하지만, 현재 다운로드가 되지 않아 확인할 수 없다.

▲다운로드된 xyz.dll을 로드하는 루틴[자료=안랩]


이 악성코드에서 사용된 C&C 주소는 아래와 같다.
http://lovelovelove.atwebpages[.]com/home/jpg/post.php
http://lovelovelove.atwebpages[.]com/home/jpg/download.php?filename=lover01

이처럼 악성 한글문서는 특정 조직을 타깃으로 공격을 수행하기 때문에 출처가 불분명한 메일 및 첨부파일은 열람하지 않도록 사용자들의 각별한 주의가 필요하다고 안랩은 당부했다. 한편, 현재 V3 제품은 해당 악성코드를 ‘Exploit/HWP.Generic’ 등의 진단명으로 차단하고 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)