0xNews - MS 오피스 파일을 이용한 공격 피싱 캠페인 분석

McAFee 발표

무기화된 MS 오피스 Office 파일을 배포하여 피해자를 공격하는 감염 체인 infection chain 트리거를 위해 매크로를 활성화하라는 메시지를 표시하는 것은 피싱 공격 캠페인의 표준으로 자리 잡음

새로운 공격 캠페인 조사 결과 공격자는 피해자를 감염 시키기 위해 매크로 코드를 실행하기 전 보안 경고를 비활성화하기 위해 악성 코드로 분류되지 않은 문서를 배포하는 것을 확인

초기 스팸 첨부 파일 매크로에 악성 코드가 존재하지 않음

ZLoader 로 명명된 악성 DLL 다운로드 후 실행하는 형태로 변경

현재까지 미국, 캐나다, 일본, 말레시아 등에서 이번 공격 캠페인 보고

이번 공격 코드는 ZeuS 뱅킹 트로이 목마의 후손으로 초기 공격 백터로 매크로 지원 오피스 문서를 공격적으로 활용

지정된 금융 기관 사용자로부터 자격 증명이나 개인식별 정보 등을 탈취하는 것을 목표로 함

연구팀은 칩입 정보를 조사하던 중 감염 체인이 MS 워드 문서 첨부 파일이 포함된 피싱 이메일에서 부터 시작된 것을 발견

해당 이메일을 열면 원격 서버에서 암호화된 MS 엑셀 파일 다운로드 수행

이런 다운로드가 실행되는 것은 MS 오피스에서 매크로가 활성화되어 있기에 가능

엑셀 파일 XLS 파일 다운로드 후 Word VBA 에는 XLS 에서 셀 내용을 읽고 동일한 XLS 파일에 대한 새로운 매크로를 생성

셀 내용을 XLS VBA 매크로에 함수로 작성

매크로가 작성된 후 MS 워드 문서는 윈도우 레지스트리의 정책을 Excel 매크로 경고 비활성화 로 설정

이후 MS 엑셀 파일에서 악성 매크로 기능 호출

MS 엑셀 파일에서 ZLoader 페이로드 다운로드 실시

ZLoader 페이로드는 rundll32.exe 사용하여 실행

사용자에게 표시되는 보안 경고를 비활성화하여 탐지를 방해하고 탐색망 아래 숨어버림

악성 문서 전파를 통한 공격은 대부분 맬웨어 전파나 공격 등의 시발점

이러한 에이전트의 사용은 MS 워드나 엑셀 등에 국한되지 않고 더 큰 추가 위협이 되는 파일 다운로드가 가능하기 때문에 사용자의 주의가 필요

openLab