Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

악성코드 정보

앞 내용 보기 다음 내용 보기
악성코드 정보Higaisa APT, 악성 바로가기 파일 유포
작성일 2020-06-11 조회 556

1. 개요

최근 Higaisa APT 그룹이 악성 바로가기(LNK) 파일이 포함된 아카이브 파일을 유포하고 있다. 아카이브 파일에는 PDF로 위장한 바로가기 파일이 존재하며, 바로가기 파일 실행 시 특정 명령어를 실행해 PC를 감염시킨다. 이후 사용자가 악성코드를 인지하지 못하도록 정상 PDF 파일을 실행시킨다. 이렇듯 사용자가 감염 사실을 알 수 없기 때문에 각별한 주의가 필요하다.

 

 

CV_Colliers.rar

[그림 1] CV_COlliers.rar

 

바로가기 파일 속성

[그림 2] 바로가기 파일 속성

 

 

 

2. 악성 행위

LNK 파일 실행 시, CMD 명령을 통해 Base 64를 복호화하여 Windows 캐비닛 파일을 압축 해제한다. 캐비닛 파일 내부에는 정상 PDF 파일과 악성 행위를 위한 자바스크립트 파일과 실행 파일이 존재한다.

 

 

캐비닛 파일 - o423DFDS4.tmp

[그림 3] 캐비닛 파일 - o423DFDS4.tmp

 

Curriculum Vitae_WANG LEI_Hong Kong Polytechnic University.pdf

International English Language Testing System certificate.pdf

[그림 4] 정상 PDF 파일

 

 

 

PDF 파일이 실행된 후, 자바스크립트 파일이 동작하면서 svchast.exe 파일이 실행된다. 또한, 자바스크립트 파일을 통해 svchast.exe 파일은 자동실행 폴더와 공용 다운로드 폴더에 Officeupdate.exe로 파일명을 변경하여 복제된다. 그리고 작업 스케줄러에 해당 파일을 등록하여 2시간마다 자동으로 악성코드가 실행되도록 한다.

 

 

svchast.exe(Officeupdate.exe) 작업 스케줄러 등록

[그림 5] svchast.exe(Officeupdate.exe) 작업 스케줄러 등록

 

 

 

ipconfig 명령어를 통해 감염 PC의 IP 정보를 획득하여 d3reEW.txt 파일에 저장한 뒤, 파일의 데이터를 C2 서버로 전송한다.

 

 

C2 서버로 전송

[그림 6] C2 서버로 전송

 

 

 

svchast.exe(Officeupdate.exe) 파일은 64bit 환경에서만 동작하는 실행 파일이며, 66DF3DFG.tmp 파일의 로더 역할을 한다. 악성코드가 실행되면 가장 먼저 연도를 체크하여 2018년에서 2021년도에 포함될 경우 66DF3DFG.tmp을 로드한다. 현재의 연도가 범위를 벗어날 경우에는 실행을 종료한다.

 

 

svchast.exe(Officeupdate.exe)

[그림 7] svchast.exe(Officeupdate.exe)

 

 

 

이후 C2 서버와 HTTPS 통신을 시도한다. 현재 통신이 진행되고 있지 않아 다음 행위에 대한 확인이 어렵지만, 추가 파일을 다운로드받아 악의적인 행위를 진행할 것으로 판단된다.

 

 

 

3. APTX 탐지 현황

현재 윈스의 SNIPER APTX에서는 해당 악성코드에 대해 아래와 같이 탐지/분석하고 있다.

 

 

APTX 탐지 결과

[ 그림 8 ] APTX 탐지/분석 보고서

 

 

 

4. IOC

파일명 : CV_Colliers.rar
MD5 : 278d191d794f84034c90bf9a3068d51e

 

파일명 : Curriculum Vitae_WANG LEI_Hong Kong Polytechnic University.pdf.lnk
MD5 : 4a4a223893c67b9d34392670002d58d7

 

파일명 : International English Language Testing System certificate.pdf.lnk
MD5 : 997ab0b59d865c4bd63cc55b5e9c8b48

 

파일명 : Curriculum Vitae_WANG LEI_Hong Kong Polytechnic University.pdf
MD5 : 4dcd2e0287e0292a1ad71cbfdf99726e

 

파일명 : International English Language Testing System certificate.pdf
MD5 : 28bfed8776c0787e9da3a2004c12b09a

 

파일명 : o423DFDS4.tmp
MD5 : 260eae2912475e51d82534b467e5746b

 

파일명 : 34fDFkfSD38.js
MD5 : d53daa634260ed28fc2e8610ecf15ad3

 

파일명 : 66DF3DFG.tmp
MD5 : 9776f04d9c254a0b67f4dc000369a17c

 

파일명 : svchast.exe(Officeupdate.exe)
MD5 : a29408dbedf1e5071993dca4a9266f5c

 

goodhk[.]azurewebsites[.]net

 

45[.]76[.]6[.]149

 

첨부파일 첨부파일이 없습니다.
태그 Higaisa  LNK  CV_Colliers