# 신천지 비상연락처 위장한 Bisonal 악성코드 유포 중 (2020.03.05)

**asec.ahnlab.com/1298**

2020년 3월 5일

ASEC분석팀은 현재 우리나라에서 이슈가 되고있는 신천지 관련 악성코드가 유포된 것을 확
인하였다. 유포 파일명은 xlsx 엑셀 또는 ppt 파워포인트 문서 파일로 보이지만, 유니코드
RLO(Right to Left Override) 방식을 이용하여 파일 확장자를 다른 형태로 보이도록 하였다. 실
제 악성 파일은 *.scr 파일이다.

RLO 변조 된 파일

유니코드 RLO 변조 유포 악성 파일

신천지예수교회비상연락처(1).Rcs.xlsx
신천지예수교 증거장막성전 총회본부 홍보부 언론홍보과 보좌 조직RCS.ppt


-----

**– 신천지예수교회비상연락처(1).xlsx**

엑셀 문서 내용
**– 신천지예수교** 증거장막성전 총회본부 홍보부 언론홍보과 보좌 조직.ppt

파워포인트 내용 – 1

파워포인트 내용 – 2
분석 내용은 엑셀 파일을 기준으로 작성한다.

파일 실행 시 위와 같이 정상 엑셀파일을 함께 실행하여 사용자 PC에 악성코드가 실행되는 것
을 알기 어렵게 한다.


-----

실행 파일과 동일한 경로에 정상 문서 파일이 생성되며 해당 파일은 %TEMP% 경로에 생성된
vbs가 실행 시킨다.

%TEMP% 경로에 생성된 3개의 파일은 각각 아래와 같은 기능을 한다.

%TEMP%[랜덤1].vbs : 정상 xlsx 파일을 실행
%TEMP%[랜덤2].vbs : *.scr 파일을 삭제
%TEMP%services.exe : 백도어 악성코드

services.exe 백도어는 아래 레지스트리키에 등록 되어 재부팅 후에도 동작하게 한다.

HKCUSoftwareMicrosoftWindowsCurrentVersionRunmismyou
“C:UsersvmuserAppDataLocalTempservices.exe”

자동실행 등록 코드
C&C 주소

http[:]//imbc[.]onthewifi[.]com/ks8d[IP주소]akspbu.txt

백도어 기능으로는 프로세스 목록, 컴퓨터 이름, OS 버전 정보 전송과 파일 실행 및 종료, 추가
파일 다운로드 등이 있다.


-----

백

도어 코드
해당 백도어는 Bisonal 악성코드로 확인 되었다. Bisonal은 2011년부터 한국 기관 및 기업에
대한 공격을 지속적으로 행해왔다.


-----

2018년 2020년 Bisonal 비교
현재 V3에서는 이와 같은 악성코드를 다음과 같은 진단명으로 진단하고 있다.

**[파일진단]**

**Backdoor/Win32.Bisonal (2020.03.05.04)**


-----