1. 개요

- 2023.03.21 Zscaler사에 의해 북한 해킹 그룹 APT37(ScarCruft, Temp.Reaper)이 사용중인 Github 저장소가 발견

- 저장소에는 APT37 그룹에서 다양한 분야의 기업, 기관을 공격 하기위해 사용하는 파일들이 다수 존재

- CHM, HTA, HWP, MS Excel Add-in XLL, Macro-Based MS Office 등 공격 초기에 사용되는 피싱용 파일이 확인

 

2. 주요 내용

2.1 CHM 파일

- 악성 HTA 파일을 다운로드하는 CHM 파일 Decoy 파일압축한 파일 이용

HTA 파일 (HTML Application)
> 인터넷 브라우저 보안 모델의 제약 없이 실행되며,  "완전히 신뢰할 수 있는" 응용 프로그램으로 실행
> 따라서, 웹 브라우저의 보안을 우회하기 때문에, 공격에 자주 악용됨

CHM 파일 (Compiled HTML Help)
> 컴파일된 HTML 도움말 파일 형식
> 소프트웨어 응용 프로그램에 대한 온라인 도움말, 교육 가이드, 대화형 책 등에 이용

Decoy 파일
> 사용자들을 속이기위한 정상 파일로 위장한 악성 파

 

- Decoy 파일비밀번호가 설정되어 있으며, 해당 비밀번호CHM 파일 실행 시 확인 됨

> CHM 파일에는 C2 URL이 저장되어 있어, 실행 시 Mshta.exe를 통해 해당 URL로 접속

> 최종적으로 Chinotto PowerShell-based 백도어 설치

mshta.exe
> Microsoft HTML 응용 프로그램(HTA)을 실행하는 유틸리티
> mshta.exe를 활용해 파일 내 인라인 스크립트로 mshta.exe에 의해 실행될 수 있음

 

[사진 1] CHM 파일 내 비밀번호 및 악성 URL(C2)

2.2 LNK 파일

- LNK 파일의 경우 국내 기업의 로그인 페이지로 위장한 HTML 파일이 RAR로 압축되어 있음

> "html.lnk" 및 "pdf.lnk"와 같이 이중 확장자를 사용

> Mshta.exe를 통해 C2로 접속하여 Chinotto PowerShell-based 백도어 설치

LNK 파일 (Link)
> 윈도우 운영체제에서 사용되는 바로가기 파일

 

- 공격에 사용된 LNK 파일 분석 결과 동일한 가상 머신을 재사용한 것으로 확인됨

> 가상 머신의 Mac 주소 00:0c:29:41:1b:1c로 확인

[사진 2] LECmd를 사용하여 추출한 LNK 시스템 세부 정보

 

2.3 Macro-Based MS Office

- MS Office 파일에 내장된 매크로를 통해 MSHTA를 실행하고, Chinotto PowerShell-based 백도어를 다운

[사진 3] MSHTA를 실행하는 VBA 스크립트

2.4 OLE 개체가 포함된 HWP 파일

- Chinotto PowerShell-based 백도어를 유포하기 위해 OLE 개체 악용

> OLE 개체는 악성 PE 페이로드를 포함하며, 해당 페이로드를 통해 C2 접속 및 Chinotto PowerShell-based 백도어 다운

OLE (Object Linking & Embedding)
> 응용프로그램에서 다른 응용프로그램의 객체를 포함 또는 참조할 수 있게 해주는 기술
> 문서에 다양한 종류의 미디어 및 데이터를 쉽게 삽입할 수 있음

 

[사진 3] MSHTA 실행 및 백도어 다운로드 스크립트

2.5 MS Excel Add-in XLL

- 현재까지 APT37 그룹이 사용하는 방법 외 새로운 공격 방식 MS Excel Add-in 방식이 확인

> Add-in은 XLL 파일로, MS Excel 응용프로그램에서 추가 기능으로 동작하는 DLL

> Excel 응용프로그램과 통신을 위한 다양한 콜백함수(ex. xlAutoOpen())가 포함

- Office Add-ins platform
> Office 응용 프로그램을 확장하고 Office 문서의 콘텐츠와 상호 작용하는 솔루션을 구축할 수 있음
> HTML, CSS 및 JavaScript를 사용하여 MS Office를 확장하고 상호 작용할 수 있음

- 콜백함수
> 특정 이벤트에 의해 호출되는 함수

 

- 동작 방식은 다음과 같음

① 문자열 'EXCEL'을 통해 리소스 섹션에 저장된 Decoy 파일을 추출 및 저장

ex. C:\programdata\20230315_세종지원[.]xls

② XLS 파일에 내장된 URL로  MSHTA를 사용해  Chinotto PowerShell-based 백도어를 포함한 HTA 파일 다운

[사진 4] 악성 MS Office Excel 추가 기능의 xlAutoOpen() 서브루틴

3. 대응방안

① 불분명한 출처의 파일 등 실행 금지/주의 등 일반적인 보안 상식 준수

② "4. 참조" 내 확인되는 침해지표 보안 장비 등록 및 모니터링

 

4. 참조

 

The Unintentional Leak: A glimpse into the attack vectors of APT37 | Zscaler

An operational security failure by the North Korean threat actor - APT37, led to the discovery of many previously unknown tools and techniques used by them

www.zscaler.com

'취약점 > Social Engineering' 카테고리의 다른 글

국정원, 국내 '포털사이트' 사칭한 北 해킹공격 주의 촉구  (1) 2023.05.26
불가능한 이동(Impossible Travel) 경고를 우회하는 BEC 공격  (0) 2023.05.24
Browser in the Browser (BitB)  (0) 2023.04.20
랜섬웨어 그룹 사칭 피싱메일  (0) 2023.04.03
심 스와핑 (SIM Swapping)  (0) 2023.02.21

+ Recent posts

티스토리툴바