□ 개요
이번에 발견된 악성 한글 문서는 한국 부동산 개발 협회에서 작성한 일일 동향보고로 위장하고 있다. 해당 악성코드는 국내 부동산 시장에 대한 관심이 높아지고 있어 국내 사용자들을 대상으로 유포되고 있는 것으로 추정된다.
□ 내용
북한의 사이버 공격 그룹으로 알려진 라자루스는 한글 문서 파일을 악용하여 지속적인 공격을 시도하고 있는 것으로 보인다. 라자루스 그룹은 3.20 사이버 테러, 소니픽쳐스 해킹, 방글라데시 중앙은행 해킹 등 주요 해킹 사건 때마다 등장하는 그룹으로 국내에 한글 문서 파일을 악용해 지속적으로 공격을 시도하고 있다. 이번에 발견된 '일일동향보고_180913.hwp' 악성 한글 문서도 라자루스 그룹이 제작한 한글 문서구조와 악성 코드가 유사하다.
[그림 1] 일일 동향 보고
한글 구조 내부 PS 파일에 쉘코드를 포함하고 있으며 16바이트 XOR 키로 쉘코드를 복호화한다.
[그림 2] 한글 구조 내부에 포함된 PS 파일
쉘코드가 실행되면 특정 주소에서 파일을 다운로드한다.
URL : hxxps://txxxx.exxxxx.xx/wp-content/uploads/2018/04/profile_1.gif (32bit)
hxxps://txxxx.exxxxx.xx/wp-content/uploads/2018/04/profile_2.gif (64bit)
[그림 3] 파일 다운로드
다운로드 받은 profile_1.gif, profile_2.gif 파일을 XOR연산을 통해 0xAA로 디코딩한다.
[그림 4] profile_1.gif 파일 (XOR 디코딩)
[그림 5] profile_2.gif 파일 (XOR 디코딩)
XOR 연산하여 디코딩한 profile_1.gif 및 profile_2.gif 파일을 실행하면 다음과 같은 C&C 서버에 접속을 시도한다.
C&C 서버: hxxp://axxxxxxxxx.xx.xx/wp-includes/rest.php
hxxp://51xxxxxxxxx.xxx/include/partview.php
hxxp://new.xxxxxxx.xx/wp-includes/common.php
□ 바이로봇 업데이트 내역
HWP.Exploit
BIN.Agent
Trojan.Win32.Agent
Trojan.Win64.Agent