Created: February 3, 2022 5:43 PM
BazarBackdoor 악성코드 설치에 사용된 악성 CSV
조작된 csv 파일을 이용하여 BazarBackdoor 악성코드에 감염시키는 새로운 피싱 캠페인이 확인되었다. Microsoft Excel은 Dynamic Data Exchange(DDE) 기능을 지원하는데, 해당 기능을 통해 csv 파일을 포함한 스프레드 시트에서 출력이 입력되는 명령을 실행할 수 있다.
피싱 이메일에 포함된 링크는 document-21966.csv 와 유사한 이름의 csv 파일을 다운로드 하는 사이트로 연결된다.
위와 같이 콤마로 구분된 csv 파일을 받게 되는데, PowerShell command를 실행하는 열에 WMIC 호출이 포함되어 있다. =WmiC| 은 권한이 있는 경우 엑셀에서 WMIC.exe 를 실행하고, 주어진 PowerShell 명령을 실행해서 열려있는 문서에 데이터를 입력하는 DDE 기능이다. 여기서는 DDE가 WMIC을 사용하여 새로운 PowerShell 프로세스를 생성하고, 해당 프로세스는 또 다른 PowerShell command가 포함된 원격 URL을 연다.
궁극적으로 BazarLoader 를 다운로드 하기 위해 실행되는 PowerShell 명령은 위와 같으며, picture.jpg 를 다운로드해서 C:\Users\Public\87764675478.dll 로 저장한다. 해당 dll을 rundll32.exe 를 이용하여 실행하는 명령이다.
기본적으로 엑셀에서 해당 csv 파일을 열게 되면 DDE 호출을 감지하여 사용자에게 보안 Noti를 띄우게 된다.
IOC
Reference: https://twitter.com/phage_nz/status/1488310674279530496
CSV URL
- hXXps://leosoko[.]com/components/com_kunena/views/home/tmpl/appeal.php
Script Domain
- ouchimin[.]com
C2
- 104.168.48[.]120:443
- 185.99.132[.]67:443'깔짝할짝' 카테고리의 다른 글
| 2022-02-07 Mon (0) | 2022.02.07 |
|---|---|
| 2022-02-04 Fri (0) | 2022.02.04 |
| 2022-01-27 Thur (0) | 2022.01.27 |
| 2022-01-26 Wed (0) | 2022.01.26 |
| 2022-01-25 Tue (0) | 2022.01.25 |