사례비 지급 내용으로 위장한 악성코드가 유포되고 있다. 원노트(OneNote)를 악용한 이 악성코드는 지난달 패스워드 파일 형태로 악성코드를 유포했던 김수키(Kimsuky) 해커 조직의 소행으로 추정된다. 사칭 대상, VB스크립트(VBScript) 파일의 악성 행위 등이 매우 유사하기 때문이다. 이번에는 악성코드가 어떤 과정을 거쳐 유포됐는지 자세히 알아보자.
원노트 파일을 활용한 공격은 올해 1월 중순부터 등장하기 시작해 점점 증가하는 추세이다. MS오피스(MS Office)의 ‘제한된 보기’와 윈도우 보안 툴 ‘MOTW(Mark of the Web)’를 우회하며, 원노트 파일 안에 VB스크립트, WSF, HTA 등의 파일 형식을 포함하는 것을 허용한다는 취약점을 안고 있다. 이들 파일은 실행 시 특정 경고창이 뜨지만, 대다수 사용자는 아무 생각 없이 경고창에서 ‘확인’ 버튼을 누른다. 이때 악성 스크립트가 실행되는 것이다.
이번에 확인된 원노트 파일은 [그림 1]처럼 사례비 지급 내용을 담고 있으며, 첨부된 한글 파일 클릭을 유도한다.
하지만 이 한글 파일이 위치한 곳에는 [그림 2]와 같이 personal.vbs 명의 악성 스크립트 개체가 숨어 있다.
사용자가 첨부 파일을 클릭하면 악성 VB스크립트 파일이 personal.vbs 명으로 임시 경로에 생성 및 실행된다. 생성된 VB스크립트 파일 코드는 [그림 3]과 같이 난독화된 명령어를 주석처럼 표시한 후, 이를 다시 읽어 복호화한다. 그런 다음 악성 명령어를 실행한다.