포스팅 내용

악성코드 분석 리포트

비너스 락커! 이번에는 DOC 문서 취약점을 이용하여 유포 중



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC) 입니다.


작년부터 활발한 활동을 하고있는 Venus Locker 랜섬웨어를 유포한 공격자들이 이번에는 이메일에 DOC 문서를 첨부하고 Exploit을 이용하여 유포하는 움직임이 포착되었습니다. 이번에 사용된 이메일 주소(ohyeonsoo0613@gmail.com)는 '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 유포에 사용된 메일 주소와 동일합니다.


이 공격자들은 기존에도 다양한 방식으로 랜섬웨어와 모네로 가상 화폐 채굴 기능기를 유포한 조직입니다. 





메일 내용은 법적 조치는 하지 않을 테니 저작권에 접촉되는 그림을 확인해 달라는 내용으로 사용자로 하여금 확인을 하도록 유도하는 내용을 담고 있습니다.

 

[그림 1] 저작권법 위반 그림 사용 알림 메일 내용


첨부된 DOC 파일을 열어보면 아래와 같이 아무런 내용이 없는 것처럼 보이나 맨 앞부분에 있는 삽입된 개체를 통하여 URL로부터 스크립트를 다운받아 실행합니다.

 

[그림 2] DOC 문서 오픈 시 URL 접속

 

[그림 3] 객체 내부에 숨겨져 있는 URL


실행되는 스크립트는 아래와 같고, 이 스크립트가 실행이 되면 최종적으로 'https://filetea.me/n3wnNWK0TyXRnKso730hCTKoA/dl' 사이트에 접속 후 '%appdata%' 하위 'output.exe'라는 이름으로 파일 다운 및 실행을 합니다. 그러나 현재 서버에 파일이 존재하지 않아 동작하지 않습니다.

 

[그림 4] 파워쉘 명령어가 포함된 화면


최근에도 다양한 파일의 형식으로 통해 사용자 PC에 악성코드를 감염시키는 악성메일이 꾸준히 발생하고 있습니다. 따라서 이용자들은 출처를 확인할 수 없는 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가주시기 바랍니다.


현재 알약에서는 Trojan.PowerShell.Agent으로 진단하고 있습니다.




티스토리 방명록 작성
name password homepage