출처 : 보안뉴스

https://www.boannews.com/media/view.asp?idx=112460

국내 이용자의 개인정보가 담긴 파일을 이용한 APT 공격이 발견돼 주의가 필요하다. 이번에 발견된 공격 파일은 워드 문서(.docx) 파일로, 최근 공격자들이 자주 사용하는 원격 템플릿 주입(Remote Template Injection) 기술을 사용했다.
 

▲악성 워드 파일의 모습[이미지=ESRC]

이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면 이번에 발견된 문서 파일은 ‘Paypal’ 이름의 계정에서 지난 6일 19시 26분경 수정된 것으로 확인됐다. 이 문서는 원격 템플릿 주입 기술을 사용해 ‘k22012.c1[.]biz/paypal.dotm’에서 악성 매크로가 포함된 dotm 확장자의 템플릿 파일을 자동으로 다운로드하고 실행한다.
 

▲자동으로 다운로드 되는 dotm 파일[이미지=ESRC]

사용자가 모르는 상태에서 ‘콘텐츠 사용’ 버튼을 눌러 매크로 기능을 활성화하면, 사용자에게는 다음과 같은 파일이 보이며 백그라운드에서는 dotm 내 악성 매크로가 활성화된다.
 

▲매크로 실행 후 보여지는 워드파일[이미지=ESRC]

paypal.dotm 파일 내부에는 문서 폰트를 검은색으로 변경하고, ‘5645780.c1.biz’에서 ‘.cab’ 확장자의 압축된 추가 페이로드를 다운로드한다. 이후 추가로 내려받은 파일의 압축을 해제하면 그 안에는 ‘check.bat’를 실행하는 코드가 포함돼 있다.
 

▲paypal.dotm 내 매크로 코드(좌)와 C&C에서 다운받은 cab 파일 내용(우)[이미지=ESRC]

‘check.bat’ 코드에는 △관리자 권한 확인 △OS Bit에 따라 각각 wpnprv32/64.dll 실행 등의 명령어가 포함돼 있다. wpnprv32/64.dll 모듈은 UAC Bypass 기능을 가진 권한상승 모듈로 check.bat을 통해 관리자 권한을 확인한다. 만일 현재 사용자가 ‘관리자’라면 trap.bat를 바로 실행하며, ‘사용자’라면 wpnprv32/64.dll 모듈을 통해 권한을 상승시킨 후, 관리자 권한으로 ‘trap.bat’를 배치 스크립트를 추가로 실행한다.

UAC는 사용자 계정 컨트롤(User Account Control)로 윈도에서 제공하는 보안기능이며, 권한이 없는 프로그램이 바로 실행되지 않도록 사용자에게 실행 여부를 묻는다. 악성코드들은 레지스트리 변경 등 다양한 악성행위를 위해 관리자 권한을 필요로 하는 작업을 시도하는데, 이때 사용자가 인지하지 못하도록 UAC Bypass 기법을 사용한다.