국내 대학교 대상으로 악성 CHM 유포 중

ASEC 분석팀은 국내 특정 대학교를 대상으로 악성 CHM 파일이 다수 유포되고 있는 정황을 포착하였다. 유포 중인 악성 CHM 파일은 지난 5월에 소개했던 유형과 동일한 유형인 것으로 확인하였다.

문서 편집 및 메신저 프로그램으로 위장한 백도어 (*.chm) – ASEC BLOG

ASEC 분석팀은 악성 CHM 파일을 통해 국내 다수 사용자가 이용 중인 문서 편집 및 메신저 프로그램으로 위장한 백도어가 국내 유포 중인 것을 확인하였다. 최근 다양한 형태로 유포 중인 악성 CHM 파일은 지난 3월에도 ASEC 블로그를 통해 두 차례 소개해왔다. 이번에 소개할 악성 CHM 파일은 이전과 다른 과정을 거쳐 추가 악성 파일들을 실행한다. 현재 유포 중인 CHM 파일명 중 일부는 아래와 같으며, 국가 기관 관리자 및 대학 교수 등을 대상으로 유포되는 것으로 보인다. 유포 파일명국가융합망 예버서버 점검.chm*****…

[그림 1] 은 악성 CHM 내부에 존재하는 HTM 파일의 코드이며, 파일명 “2022년도_기초과학연구역량강화사업_착수보고회_개최_계획 Ver1.1.chm” 으로 유포 중인 것으로 추정된다. 사용자가 악성 CHM 파일을 실행하게 되면, 해당 HTM 파일의 코드가 실행된다. 해당 스크립트는 hh.exe 를 통해 CHM 파일을 디컴파일 후 LBTWiz32.exe 파일을 실행하는 기능을 수행한다. 이후 정상 이미지(KBSI_SNS_003.jpg) 를 사용자 PC 화면에 생성하여 악성 행위를 알아차리기 어렵도록 한다.

실행되는 LBTWiz32.exe 는 정상 프로그램이며, DLL 하이재킹을 통해 같은 경로에 생성된 악성 DLL (LBTServ.dll) 이 로드되어 동작한다. 악성 DLL은 %TEMP% 폴더에 악성 VBE 파일을 생성 및 실행하며, 악성 VBE 파일은 ReVBShell 이다. [그림 2] ~ [그림 4] 는 디코딩된 VBE 코드 중 일부이다.

ReVBShell 은 기존에 소개한 유형과 동일하게 “ESET Security” 제품이 존재하는 경우 악성 행위를 수행하지 않는다. 해당 백신 재품이 존재하지 않는 경우 C2 에 연결을 시도하며 , C2 연결 시 공격자 명령에 따라 아래 기능을 수행할 수 있다.

• VBE 기능
  운영체제 정보 획득 (“SELECT * FROM Win32_OperatingSystem”)
  네트워크 어뎁터 정보 획득 (SELECT * FROM Win32_NetworkAdapterConfiguration WHERE MACAddress > ”)
  컴퓨터 이름 및 도메인 정보 획득
  현재 실행 중인 프로세스 정보 획득 (SELECT * FROM Win32_Process)
  파일 다운로드 및 실행 기능
  WGET 기능

최근 CHM 을 이용한 악성코드 유포가 국내에서 다수 확인되고 있다. 또한, 특정 기관을 대상으로 유포되고 있어 관련 사용자들은 더욱 주의해야하며, 출처가 불분명한 파일 실행을 자제해야한다. 현재 V3 에서는 해당 악성코드들을 다음과 같이 진단하고 있다.

[파일 진단]
Trojan/Win.ReverseShell.R506553 (2022.07.26.00)
Trojan/HTML.Generic (2022.07.26.00)
Trojan/VBS.Generic (2022.07.26.00)

[IOC]
56b3067c366827e6814c964dd8940c88
058bed5a09c20618897888022fd0116e
e8aa5c0309cbc1966674b110a4afd83a
ckstar.zapto[.]org:443