[주의] 국내 중소기업을 사칭한 견적 요청의 피싱 메일 유포 중!

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

금일(2019년 04월 24일) 국내 중소기업(Hi-*******, 두**)으로 사칭한 피싱 메일이 유포되어 사용자들의 주의가 필요합니다. 

[그림 1] Hi-******* 사칭한 피싱 메일

[그림 2] 두** 사칭한 피싱 메일

두 메일은 모두 다음 도메인을 이용했는데, 각각 'daum.net', 'hanmail.net'를 사용하였으며, 대용량 파일을 첨부했습니다.

발견된 피싱 메일의 세부 정보 및 본문 내용은 아래와 같습니다.

[두** 사칭 피싱 메일]

메일제목	FB1905466_001_12_PINQ_2019041
첨부파일명	FB1905466_001_12_PINQ_20190419,xlsx.ace  FB1905466_001_12_PINQ_20190419,xlsx.zip
본문내용	- 귀사의 일익 번창하심을 기원합니다.  - 유첨건 관련, 견적 요청 하오니 검토하시어 빠른 회신 부탁 드립니다.  두베코 SRM 단가 입력 바로가기  (위 링크는 2019년 04월 28일 까지 유효합니다.)  ***  (주) 두 * *  Tel : 070-****-****  Fax : 051-***-****  E-mail :ssuni4356@daum.net

[Hi-******* 사칭 피싱 메일]

메일제목	견적 요청 - 프로젝트
첨부파일명	RFQ-NO-PO#7566657875,doc.ace  RFQ-NO-PO#7566657875,doc.zip
본문내용	연일 업무에 노고가 많으십니다.   첨부파일 확인하시어 업무에 참고하시기 바랍니다.   확인부탁드립니다   감사합니다   감사합니다.  Best Regards,  ********** (Mr.)  / General Manager    [Head Office]  C-14**, H**** Knowledge Industry Center  7, Beo****-ro 11-gil, ******-gu, Seoul, KOREA  Tel : +82-2-***-**** / Dir.+82-(*)**-****-****  Fax : +82-2-****-****  [Factory / Warehouse]  103, San**********-ro, Y****-si, Jeo*****-do, KOREA  Tel : +82-61-***-**** Fax : +82-61-***-****  http://www.hi*******.com/

메일에 첨부된 대용량 파일은 doc와 xlsx 파일이 들어있는 것처럼 위장한 ace 압축 파일과 zip 압축 파일입니다.

대용량 파일의 다운로드 경로를 확인하면, DaumCDN을 통해 다운로드됬음을 확인할 수 있습니다.

[그림 3] 대용량 파일 다운로드 경로

첨부된 악성 대용량 파일을 압축 해제한 파일들은 아래와 같습니다.

- FB1905466_001_12_PINQ_20190419,xlsx.exe

- RFQ-NO-PO#7566657875,doc.exe

두 악성 파일은 각각 MS Word 파일(.doc)와 MS Excel 파일(.xlsx)을 위장한 실행 파일(EXE)입니다.

[그림 4] 압축 해제한 파일 화면

두 파일의 정보를 확인해 보면, 두 파일 모두 Loops Quantum이라는 이름으로 디지털 서명 정보가 있는 것을 확인하실 수 있습니다.

[그림 5] 악성 파일의 디지털 서명 정보

메일을 받은 사용자가 해당 악성 파일을 Word 파일이나 Excel 파일로 착각하고, 내용 확인을 위해 파일을 실행한다면 다음과 같이 백그라운드에서 프로그램이 실행됩니다.

[그림 6] 백그라운드에서 실행되는 악성 파일

백그라운드에서 실행되는 악성 파일들은 PC의 CPU를 100% 가까이 사용하고 있음을 확인하실 수 있습니다.

악성코드 분석

1. 사용자 정보 탈취

이 악성코드의 주 목적은 정보 탈취이며 이를 통해 공격자에게 전송되는 정보는 브라우저를 통한 계정 탈취, 시스템 정보, 브라우저를 통한 계정 탈취, 이메일 서버 계정 등이 있습니다.

먼저 정보 탈취 웹 브라우저 대상은 총 34개가 존재하며 다음과 같습니다.

‘Chrome', 'Firefox', 'Yandex', 'Safari', 'Opera', 'SeaMonkey', 'Flock', 'Thunderbird', 'K-Meleon', 'IceDragon', 'BlackHawk', 'Postbox', 'Cyberfox', 'Pale Moon', 'FossaMail', 'Lunascape6', 'Titan Browser', 'Chromium', 'Spark', 'RockMelt', 'Nichrome', 'Dragon', 'Mustang', 'Superbird', 'Coowon', 'Orbitum', 'Iridium', 'Epic Privacy', 'Torch', 'Vivaldi', '360Browser', 'Citrio', 'Waterfox', 'QtWeb'

위 브라우저가 확인될 경우, 레지스트리 또는 파일을 통해 계정 정보를 탈취합니다.

[그림 7] 웹 브라우저 정보 탈취 코드

또한 감염 PC가 이메일 서버일 경우, SQL 쿼리 문이나 레지스트리 등을 확인하여 계정 정보 등을 탈취합니다. 다음은 이메일 정보 탈취 코드 일부입니다.

[그림 8] 이메일 정보 탈취 코드

수집되는 시스템 정보는 사용자 이름, 컴퓨터 이름, 바탕화면 크기, 관리자 권한 실행 유무의 시스템 정보가 있습니다.

[그림 9] 시스템 정보 탈취 코드

수집된 정보를 C&C에 정보 전송하는 화면은 다음과 같습니다.

[그림 10] C&C에 정보를 전송하는 화면

2. 원격제어 기능

공격자 서버 C&C로부터 명령을 받아 수행하는 데, 수행되는 기능은 정보 탈취, 추가 페이로드 다운로드 및 실행, 자가 종료 기능이 포함되어 있습니다.

다음은 원격제어 기능 수행 코드입니다.

[그림 11] 원격제어 기능 수행 코드

[C&C 정보]

- http://iceslyt.ru/ng/Panel/fre[.]php

- http://farmfit.ru/phazzy/Panel/fre[.]php

이와 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.

현재 알약에서는 해당 악성 파일에 대해 Spyware.InfoStealer.FTP으로 탐지 중에 있습니다.