신천지 비상연락처 위장한 Bisonal 악성코드 유포 중 (2020.03.05)
ASEC분석팀은 현재 우리나라에서 이슈가 되고있는 신천지 관련 악성코드가 유포된 것을 확인하였다. 유포 파일명은 xlsx 엑셀 또는 ppt 파워포인트 문서 파일로 보이지만, 유니코드 RLO(Right to Left Override) 방식을 이용하여 파일 확장자를 다른 형태로 보이도록 하였다. 실제 악성 파일은 *.scr 파일이다.
RLO 변조 된 파일
유니코드 RLO 변조 유포 악성 파일
- 신천지예수교회비상연락처(1).Rcs.xlsx
- 신천지예수교 증거장막성전 총회본부 홍보부 언론홍보과 보좌 조직RCS.ppt
– 신천지예수교회비상연락처(1).xlsx
엑셀 문서 내용
– 신천지예수교 증거장막성전 총회본부 홍보부 언론홍보과 보좌 조직.ppt
파워포인트 내용 – 1
파워포인트 내용 – 2
분석 내용은 엑셀 파일을 기준으로 작성한다. 파일 실행 시 위와 같이 정상 엑셀파일을 함께 실행하여 사용자 PC에 악성코드가 실행되는 것을 알기 어렵게 한다. 실행 파일과 동일한 경로에 정상 문서 파일이 생성되며 해당 파일은 %TEMP% 경로에 생성된 vbs가 실행 시킨다. %TEMP% 경로에 생성된 3개의 파일은 각각 아래와 같은 기능을 한다.
- %TEMP%[랜덤1].vbs : 정상 xlsx 파일을 실행
- %TEMP%[랜덤2].vbs : *.scr 파일을 삭제
- %TEMP%services.exe : 백도어 악성코드
services.exe 백도어는 아래 레지스트리키에 등록 되어 재부팅 후에도 동작하게 한다.
- HKCUSoftwareMicrosoftWindowsCurrentVersionRunmismyou “C:UsersvmuserAppDataLocalTempservices.exe”
자동실행 등록 코드
C&C 주소
- http[:]//imbc[.]onthewifi[.]com/ks8d[IP주소]akspbu.txt
백도어 기능으로는 프로세스 목록, 컴퓨터 이름, OS 버전 정보 전송과 파일 실행 및 종료, 추가 파일 다운로드 등이 있다.
백도어 코드
해당 백도어는 Bisonal 악성코드로 확인 되었다. Bisonal은 2011년부터 한국 기관 및 기업에 대한 공격을 지속적으로 행해왔다.
2018년 2020년 Bisonal 비교
현재 V3에서는 이와 같은 악성코드를 다음과 같은 진단명으로 진단하고 있다.
[파일진단]
- Backdoor/Win32.Bisonal (2020.03.05.04)