이전에 알려지지 않았던 SVCReady라는 악성 프로그램 로더가 피싱 공격에서 발견되었으며, Word 문서에서 손상된 시스템으로 악성파일을 로드하는 비정상적인 방법을 특징으로 합니다.

보다 구체적으로 말하면 VBA 매크로 코드를 사용하여 대상에 이메일 첨부 파일로 도착하는 문서의 속성에 저장된 셸 코드를 실행합니다.

HP의 새로운 보고서에 따르면 악성파일은 2022년 4월부터 배포되었으며, 개발자는 2022년 5월에 여러 업데이트 버전을 릴리스했습니다. 

해당 악성파일은 현재 활발히 개발 중이며 아직 초기 단계일 것으로 추측되지만, 이미 정보 유출, 지속성, 분석방지 기능 및 암호화된 C2 통신을 지원합니다.

이메일로 시작하는 SVCReady

감염 체인은 악성 .doc 첨부 파일이 포함된 피싱 이메일로부터 시작됩니다.

그러나 악성 매크로를 통해 PowerShell 또는 MSHTA를 사용하여 원격으로 페이로드를 다운로드하는 표준 방법과 달리, 해당 공격은 VBA를 사용하여 파일 속성에 숨어 있는 셸 코드를 실행합니다.

이 셸 코드는 아래와 같이 워드 문서의 속성에 저장되어 매크로에 의해 추출되어 실행됩니다.

[그림 1] 문서 속성에 포함된 셸 코드 (출처 : HP)

위협 행위자는 악성 셸 코드에서 매크로를 분리하여 일반적으로 탐지할 수 있는 보안 소프트웨어를 우회하려고 시도합니다.

그런 다음, HP 보고서는 “문서 속성에 있는 셸 코드가 변수에 로드되는데, 시스템 아키텍처가 32비트인지 64비트인지에 따라 다른 셸 코드가 로드된다”고 설명했습니다.

셸 코드는 Windows API 기능 “Virtual Protect”를 사용하여 메모리에 로드됨으로써, 실행 가능한 접근 권한을 획득합니다.

다음으로, SetTimer API로 셸 코드의 주소를 전달 및 실행하며, 이로 인해 DLL(악성 프로그램 페이로드)이 %TEMP% 디렉터리에 드롭됩니다.

또한, Windows 바이너리인 “rundll32.exe”의 복사본도 같은 디렉터리에 다른 이름으로 저장되어, 최종적으로 SVCReady를 실행하는 데 악용됩니다.

새로운 SVCReady 악성 프로그램 로더

SVCReady 악성코드는 레지스트리 쿼리 및 Windows API 호출을 통해 시스템을 프로파일링하여 시작하고, 수집된 모든 정보를 HTTP POST 요청을 통해 C2 서버로 전송합니다.

C2와의 통신은 RC4 키를 사용하여 암호화됩니다. HP 분석가는 이 기능이 5월 악성코드 업데이트에서 추가되었다고 언급했습니다.

또한 해당 악성코드는 호스트에서 2개의 WMI 쿼리를 생성하여 가상 환경에서 실행 중인지 여부를 파악하고, 분석을 회피할 경우 30분 동안 절전 모드에 들어갑니다.

[그림 2] 분석 회피를 위해 절전 모드로 들어가는 악성 프로그램 (출처 : HP)

지속성 메커니즘은 현재 예약된 작업과 새 레지스트리 키를 생성하는 데 의존하지만, 구현 오류로 인해 재부팅 후 악성 프로그램이 실행되지 않습니다.

[그림 3] SVCReady에 의해 생성된 예약된 작업 (출처 : HP)

그 후 두 번째 정보 수집 단계가 시작되고, 스크린샷, “osinfo” 추출 및 모든 정보를 C2로 전송합니다.

[그림 4] 스크린샷을 C2로 전송하는 악성 프로그램 (출처 : HP)

SVCReady는 5분마다 C2에 연결하여 상태를 보고하고, 새 작업을 수신하고, 도난당한 정보를 전송하거나, 도메인을 확인합니다.

현재 SVCReady에서 지원하는 기능은 다음과 같습니다.

마지막으로 악성 프로그램은 추가 페이로드를 가져올 수도 있습니다. 실제로 HP 분석가는 2022년 4월 26일에 SVCReady가 감염된 호스트에서 Readline 스틸러 페이로드를 드롭한 사례를 확인했습니다.

TA551과의 연관성

HP는 악성 문서에 사용된 이미지나 페이로드를 가져오는 데 사용된 리소스 URL 등과 같은 과거 TA551(Shatak) 캠페인에 대한 연관성을 보고 있다고 보고했습니다. 이전에 피싱 갱은 이러한 도메인을 사용하여 Ursnif 및 IcedID 페이로드를 호스팅했습니다.

TA551은 다양한 악성 프로그램 운영자 및 랜섬웨어 계열사와 연결되어 있으므로, SVCReady와의 관계가 불명확한 현재로서 TA551은 배포 파트너십이 될 수 있습니다.

그러나 악성 프로그램은 초기 개발 단계에 있는 것으로 보이므로, TA551을 통한 테스트는 불가능해 보이며 그룹 자체 악성 프로그램 프로젝트일 가능성이 있습니다.

IOC

[Word 문서]

• fa5747e42c4574f854cd0083b05064466e75d243da93008b9f0dcac5cf31f208
• e09c98b677264fc0de36a9fd99a2711455fe79699ca958938dd12b5bd2c66bad
• c0795d7a7f2c5fdb7615ee5826e8453bef832f36282d6229ec07caf49842f4bc

[DLL]

• d3e69a33913507c80742a2d7a59c889efe7aa8f52beef8d172764e049e03ead5

[C2]

• muelgadr[.]top

[Download URL]

• hxxp://wikidreamers[.]com/exe/install.exe

[Payload]

• RedLine Stealer – 6e1137447376815e733c74ab67f202be0d7c769837a0aaac044a9b2696a8fa89

출처

https://www.bleepingcomputer.com/news/security/new-svcready-malware-loads-from-word-doc-properties/

https://threatresearch.ext.hp.com/svcready-a-new-loader-reveals-itself/

보안관제센터 MIR Team