포스팅 내용

악성코드 분석 리포트

ACE 압축 파일이 첨부된 악성 메일 주의



안녕하세요이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

 

지금은 널리 쓰이지 않는 압축 파일 포맷 중 하나인 'ACE' 파일을 첨부하고, 나름 자연스러운 한국어로 작성된 해킹 이메일이 국내에 지속적으로 유포되고 있습니다.

 

201858일 오후 1010분경 유포되기 시작한 이 악성 이메일은 다수의 한국 무료 이메일 계정을 활용하고 있습니다.

 

특히, 공격자는 한국의 특정 기업을 사칭해 수신자로 하여금 보다 신뢰할 수 있도록 가장하고 있습니다. 더불어 한국인 명의를 사용함과 동시에 기업의 공식 이메일 계정이 아닌 무료 웹 메일 서비스를 공격 대상으로 삼고 있어 기업 내부 보안에 각별한 주의와 보안 강화가 요구되고 있습니다.

 

ESRC에서는 해당 위협이 한국내 다수의 이용자에게 전파되고 있는 사실을 확인했고, 공격자는 거의 동일한 이메일 문구와 악성파일을 첨부해 사용하고 있는 특징이 존재합니다.



[그림 1] 견적 요청을 담고 있는 악성 메일



메일 본문은 모두 동일한 내용으로 자연스러운 한국식 표현과 함께 Proposal 건에 대한’, ‘감사하겠습니다등 부자연스러운 표현을 포함하고 있습니다.

 

58일 첨부된 파일은 [KOREA BUSAN PJT] Request for the quotation.05072018_신**업전기.ace로 한 개의 파일 이었으나, 59일 첨부된 파일은 [AMERICA, TEXAS. PJT] Request for the quotation.05082018_신**업전기.ace, S**WHA BROCHURE.zip 으로 두 개의 파일로 되어있습니다. acezip 파일에는 모두 동일한 실행파일을 포함하고 있습니다.



[그림 2] 악성 메일에 첨부된 파일


메일에 첨부된 파일은 ’ZIP’, ‘ACE’ 를 사용하는 압축 파일로 특히 ‘ACE’ 파일은 구형 압축 파일로 일반 사용자들이 주로 사용하는 형태의 압축 파일은 아닙니다. 악성코드 유포자가 ‘ACE’ 파일을 사용함으로써 탐지를 우회하려는 목적으로 추정됩니다. 

 

만일 이용자가 견적서로 잘못 인지하여 파일을 실행할 경우 악성코드가 실행됩니다. 해당 악성코드는 프로세스에 인젝션한 뒤, 사용자가 입력한 정보를 탈취하는 기능을 가집니다. 다음은 인터넷 익스플로러에서 사용자가 입력한 정보를 C&C로 전송하는 화면입니다.



[그림 3] C&C로 입력한 정보를 전송하는 화면



이용자가 무심결에 첨부파일을 실행하였을 경우 악성코드에 감염되어 금전적인 피해나 개인 정보 유출 피해가 발생할 수 있어 주의가 필요합니다. 따라서 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가주시기 바랍니다.



 


해당 악성코드는 현재 알약에서 'Trojan.Agent.FormBook'로 진단하고 있습니다.







티스토리 방명록 작성
name password homepage