포스팅 내용

악성코드 분석 리포트

[주의] 선하증권 확인을 미끼로 RAT을 유포하는 이메일 주의!



안녕하세요?


이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 


금일(2019년 03월 11일) ESRC에서는 알집 압축파일 확장자(.egg)를 이용해 RAT을 이메일로 유포하는 공격을 포착하였습니다.


이번 공격은 선하증권을 확인하라는 내용의 이메일로 유포되고 있으며, 이메일 제목에 '선하증권 확인'으로 시작하는 표현을 담고 있습니다. 


※ 선하증권(bill of lading)


해상운송계약에 따른 운송화물의 수령 또는 선적을 인증하고, 그 물품의 인도청구권을 문서화한 증권


또한, 발신자 이메일 도메인으로 CHINA SEA GROUP을 사칭하였고, 실제 이 그룹의 상하이 지점 연락처를 도용하여 이메일 본문에 첨부하였습니다. 


첨부파일의 타이틀 역시 "선하증권확인 SSHKH8110002.egg"으로 실제 해상운송 회사에서 보낸 듯한 첨부 파일로 꾸몄습니다.


[그림1] 선하증권 확인을 사칭한 최신 공격 이메일 화면



해당 악성 이메일은 불특정다수가 아닌 선하증권을 다루는 기업의 담당자들을 타깃으로 발송되었으며, '친애하는 부탁받는 사람'으로 시작하는 어색한 한글 표현으로 메일 내용이 작성되었습니다.


친애하는 부탁받은 사람,

 


첨부파일 선하증권 샘플입니다, -- 3/11일 오후 5시까지 확인하시고 답해 주십시오.

1.개표두께,개표정보,송장주소에 변동이 있으면 알려주시기 바라며,특별한 회신이 없으면 이전 자료대로개표하여 어떠한 비용을 발생시킬지는 귀사가 부담하겠습니다!

2. 선하증권 정본입니까, 전기방사입니까?(정본 선하증권은 영수증 copy로 지불한다고 생각하고, 반드시 정본 송장으로 지불한다면 우리는 순풍지불로 보낼 것입니다)

전보로 보증서를 보내면 반드시 선하증권에 있는 shipper의 도장을 찍어야 한다.

3. 선하증권에 唛이 없음을 나타낼 수 없습니다. 唛를 제공할 수 없으면 창고기록실제 唛를 기준으로 선하증권에 표시되므로 잘 알 수 있습니다.

지금 모든 일에 대만에 가는 물건에 唛이 없으면 안 된다. 그렇지 않으면 목적항에서 벌금을 물게 될 것이다!

 


정해진 시간 내에 선하증권을 확인하세요, 그렇지 않으면 지연요금이나 선하증권료가 발생하게 됩니다!

그러나 귀사가 특수개표의 대두나 개표 정보가 수정되었다는 것을 제때에 통보하지 않음에 따라 재개표된 경우, 당사는 송장을 받고 재발행하는 데 50위안/표를 받게 되는데 협조해 주셔서 감사합니다!

부가세 전용 송장을 작성하려면 부가세 부가세 6.83%를 추가로 징수하고, 선하증권 확인시에 제출해 주시기 바랍니다.


12월부터 당사의 '부가가치세 일반영수증'은 모두 전자송장만 개설하고 전자송장우편으로 제공하고 있습니다.

질문이 있는 경우와 조작은 비용 확인 시 제출하십시오.출발 티켓을 끊은 후 shipper 이메일로 보내오니 주의해서 받아보십시오!

감사합니다

 


China Sea Marine Co., Ltd.

16F.,No.525,Si-Chuan North Road,shanghai,china

Tel: + 86 6336 5500 Ext 207/107 QQ: 792180568

Remark: 2019/03/010일부터 당사가 RMB20/표VGM 요금을 추가로 받습니다


첨부파일을 다운받아 압축을 풀어보면, 다음과 같이 pdf 파일로 위장하려고 시도한, scr(Screensaver) 확장자 파일이 들어있음을 확인할 수 있습니다. 


[그림2] scr 확장자를 가진 악성 파일


ESRC에서는 해당 파일이 CVE-2017-11882 취약점을 이용하여 유포되었던 Remcos RAT의 최신버전(v2.2.0 pro)이 포함된 것으로 확인하였습니다. 


[그림3] REMCOS v2.2.0 Pro 값을 포함한 악성 코드


또한, 해당 파일의 속성 값을 확인해 보면 화이트리스트 기반 보안솔루션 우회목적으로 안랩 모듈처럼 위장한 'Copyright (C) AhnLab, Inc. 1988-2016. All rights reserved.' 내용을 확인할 수 있습니다.


[그림4] 안랩 모듈 위장한 RAT 속성 값



이메일 첨부파일의 파일명은 다음과 같습니다.


- 선하증권확인 SSHKH8110002,PDF.scr


만약 사용자가 첨부되어있는 scr 파일을 PDF 파일로 착각하여 실행한다면 RAT에 감염이 되고, 사용자가 입력하는 키값,저장된 주요 데이터 등의 정보 탈취는 물론 웹캠과 마이크 캡쳐까지 가능하며, 공격자가 원격에서 감염된 PC를 마음대로 다룰 수 있게 되기 때문에 주의를 기울여야 합니다.


[그림5] Remcos RAT



현재 알약에서는 해당 악성코드에 대해 Backdoor.Remcos.A으로 탐지중에 있습니다.





참고:

https://brica.de/alerts/alert/public/1213017/new-remcos-rat-variant-is-spreading-by-exploiting-cve-2017-11882/



티스토리 방명록 작성
name password homepage