지난 3월 초 울진, 삼척 일대에 큰 산불이 발생하여 피해 복구 및 이재민을 돕기 위해 전국 각지에서 기부 행렬이 이어졌다. 이러한 상황에서 ASEC 분석팀은 공격자가 울진 산불 피해 기부 영수증 워드문서로 위장해 APT 공격을 시도하는 것을 포착하였다.
해당 문서의 작성 일시는 3월 28일이며 제작자는 기존 ASEC 블로그를 통해 공개한 제작자 이름(Acer)과 일치한다.
공격 기법과 생성되는 파일의 기능은 기존 블로그 내용과 동일하나, 이번 공격에서의 차이점은 매크로 실행 시 생성되는 배치 파일명이 다르다. 해당 배치파일은 moster.bat으로 유포되었으며 기능은 이전 블로그의 “error.bat”과 일치한다.
- C:\Users\Public\Documents\moster.bat -> start.vbs 파일 레지스트리 RUN키 등록, no4.bat 파일 실행, 추가 파일 다운로드
- hxxp://nomonth-man.com/dfg04/%COMPUTERNAME%.txt (추가 파일 다운로드 주소)
공격자는 현재 대북 관계자 및 가상자산 관계자 뿐만 아니라 공격 대상을 다양하게 넓혀가고 있는 것으로 보인다. 사용자는 출처가 불분명한 사이트나 이메일로부터 첨부 파일을 다운로드하는 것을 주의 해야 하며, 특히 워드(Word)문서를 실행할 때 매크로 허용 버튼 유도하는 문구나 그림이 있다면 악성 매크로가 실행될 수 있으므로 각별히 유의해야 한다.
현재 안랩 V3 제품에서는 공격과 관련된 파일들에 대해 다음과 같은 탐지명으로 진단하고 있다.
[IOC]
[MD5]
– no1.bat : a0fddb12d7b3c445fdb7ab602a5bf5fb
– download.vbs : 85165e07b9f198a5e4047756eb779b46
– temp.doc : f248401769bbcd0ebeff992ef3cfe678
– moster.bat : 07232fe7144b0286eb5c9882834eea96
– no4.bat : 0b41f93365ec443406df942914317ec7
– start.vbs : 050e663bf6c97a953e25eb7e9754d656
– upload.vbs : a40eaa73ccffe4bc2233bdfd84fe2d62
[진단명(엔진버전)]
– no1.bat : Trojan/BAT.Runner (2022.03.30.00)
– download.vbs : Downloader/VBS.Generic (2022.03.30.00)
– temp.doc : Trojan/DOC.Agent (2022.03.30.01)
– moster.bat : Trojan/VBS.Akdoor (2022.03.30.00)
– no4.bat : Trojan/VBS.Akdoor (2022.03.30.00)
– start.vbs : Trojan/VBS.Runner (2022.03.30.00)
– upload.vbs : Trojan/VBS.Akdoor (2022.03.30.00)
[C&C]
– hxxp://nomonth-man.com/uio04/upload.php
