포스팅 내용

악성코드 분석 리포트

퍼블리셔(PUB) 파일이 첨부된 악성메일 주의


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

 

최근 퍼블리셔(PUB) 파일이 첨부된 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다.

 

※ 관련글 보기

 

악성코드가 첨부된 무역 관련 악성 메일 주의

사용자 정보 탈취 목적의 악성 파일이 첨부된 메일 주의

▶ 스팸메일로 위장한 크립토재킹 공격 주의!

▶ 최신 공정위 로고를 사용한 공정위 사칭 악성 메일 주의

 

이번에 발견된 악성 메일은 ‘NEW PURCHASE ORDER’ 라는 제목으로 본문에는 매크로를 활성화 해달라고 영문으로 작성되어 있습니다.


[그림 1] 수신된 메일


첨부 파일 ‘SKMT-83987488344-21.09.2018.pub’을 실행하면 아래와 같이 매크로 활성화를 유도합니다.

 

MS Office에서 실행되는 퍼블리셔(publisher) 파일은 광고지/홍보글 제작에 사용하는 전자 출판 프로그램입니다. 악성코드 유포자는 ‘PUB’ 파일을 사용함으로써 탐지를 우회하려는 목적으로 추정됩니다.


[그림 2] 매크로 활성화를 유도하는 PUB 파일


만약 이용자가 구매 주문서(Purchase Order)에 대한 자세한 정보를 열람하기 위해 매크로 포함을 클릭할 경우, 특정 웹 사이트(https://a[.]doko[.]moe/owieik[.]msi – 81.4.3.2)에 접속하여 원격제어 악성코드(RAT)를 다운로드 받습니다.


[그림 3] 원격제어 악성코드를 다운받는 코드


다운로드된 원격제어 악성코드는

‘C:\Users\[사용자]\AppData\Local\Temp\MW-6ac2a3f3-b320-4b0b-b58e-e48a2a7fb071\files\’경로에 ‘123.exe’ 이름으로 드롭 및 실행합니다. 참고로 MW로 시작하는 폴더 이름은 랜덤으로 생성되며 영문과 숫자로 이루어 집니다.


실행된 악성코드는 나노코어 기반 원격제어 악성코드로 사용자 PC에서 키로킹, 클립보드 데이터 등 다양한 정보를 탈취하여 C&C 서버 (160.202.163.246 – 일본)로 전송합니다.


 [그림 4] C&C 연결 코드


또한 키로킹된 데이터들은 %APPDATA%\[MachineGUID \]Logs\[사용자 계정 이름]\KB_[임의의 숫자 7자리].log 파일에 저장됩니다


        [그림 5] 키로킹 데이터가 저장된 파일


해당 악성코드는 사용자 데이터를 서버로 전송하는 기능 외에 C&C와 통신이 이루어졌을 경우, 공격자가 원격으로 PC를 제어할 수 있어 피해가 발생 할 수 있습니다.

 

따라서 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가하시고검증되지 않은 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기 바랍니다.

 

현재 알약에서는 메일에 첨부된 악성 파일을 'Backdoor.RAT.MSIL.NanoCore'로 진단하고 있습니다.



티스토리 방명록 작성
name password homepage