포스팅 내용

악성코드 분석 리포트

[주의] 국내 중소기업을 사칭한 견적 요청의 피싱 메일 유포 중!


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


금일(2019년 04월 24일) 국내 중소기업(Hi-*******, 두**)으로 사칭한 피싱 메일이 유포되어 사용자들의 주의가 필요합니다. 


[그림 1] Hi-******* 사칭한 피싱 메일


[그림 2] 두** 사칭한 피싱 메일


두 메일은 모두 다음 도메인을 이용했는데, 각각 'daum.net', 'hanmail.net' 사용하였으며, 대용량 파일을 첨부했습니다.


발견된 피싱 메일의 세부 정보 및 본문 내용은 아래와 같습니다.


[두** 사칭 피싱 메일]

 메일제목

 FB1905466_001_12_PINQ_2019041

 첨부파일명

 FB1905466_001_12_PINQ_20190419,xlsx.ace

 FB1905466_001_12_PINQ_20190419,xlsx.zip

 본문내용

 - 귀사의 일익 번창하심을 기원합니다.


 - 유첨건 관련, 견적 요청 하오니 검토하시어 빠른 회신 부탁 드립니다.



 두베코 SRM 단가 입력 바로가기

 (위 링크는 2019년 04월 28일 까지 유효합니다.)




 ***

 (주) 두 * *

 Tel : 070-****-****

 Fax : 051-***-****

 E-mail :ssuni4356@daum.net


[Hi-******* 사칭 피싱 메일]

 메일제목

 견적 요청 - 프로젝트

 첨부파일명

 RFQ-NO-PO#7566657875,doc.ace

 RFQ-NO-PO#7566657875,doc.zip

 본문내용

 연일 업무에 노고가 많으십니다. 



 첨부파일 확인하시어 업무에 참고하시기 바랍니다. 



 확인부탁드립니다 



 감사합니다 


 감사합니다.

 Best Regards,

 ********** (Mr.)

 / General Manager

 

 [Head Office]

 C-14**, H**** Knowledge Industry Center

 7, Beo****-ro 11-gil, ******-gu, Seoul, KOREA

 Tel : +82-2-***-**** / Dir.+82-(*)**-****-****

 Fax : +82-2-****-****

 [Factory / Warehouse]

 103, San**********-ro, Y****-si, Jeo*****-do, KOREA

 Tel : +82-61-***-**** Fax : +82-61-***-****

 http://www.hi*******.com/


메일에 첨부된 대용량 파일은 doc와 xlsx 파일이 들어있는 것처럼 위장한 ace 압축 파일과 zip 압축 파일입니다.


대용량 파일의 다운로드 경로를 확인하면, DaumCDN을 통해 다운로드됬음을 확인할 수 있습니다.


[그림 3] 대용량 파일 다운로드 경로


첨부된 악성 대용량 파일을 압축 해제한 파일들은 아래와 같습니다.

- FB1905466_001_12_PINQ_20190419,xlsx.exe

- RFQ-NO-PO#7566657875,doc.exe


두 악성 파일은 각각 MS Word 파일(.doc)와 MS Excel 파일(.xlsx)을 위장한 실행 파일(EXE)입니다.


[그림 4] 압축 해제한 파일 화면


두 파일의 정보를 확인해 보면, 두 파일 모두 Loops Quantum이라는 이름으로 디지털 서명 정보가 있는 것을 확인하실 수 있습니다.


[그림 5] 악성 파일의 디지털 서명 정보


메일을 받은 사용자가 해당 악성 파일을 Word 파일이나 Excel 파일로 착각하고, 내용 확인을 위해 파일을 실행한다면 다음과 같이 백그라운드에서 프로그램이 실행됩니다.


[그림 6] 백그라운드에서 실행되는 악성 파일


백그라운드에서 실행되는 악성 파일들은 PC의 CPU를 100% 가까이 사용하고 있음을 확인하실 수 있습니다.


악성코드 분석


1. 사용자 정보 탈취


이 악성코드의 주 목적은 정보 탈취이며 이를 통해 공격자에게 전송되는 정보는 브라우저를 통한 계정 탈취, 시스템 정보, 브라우저를 통한 계정 탈취, 이메일 서버 계정 등이 있습니다.


먼저 정보 탈취 웹 브라우저 대상은 총 34개가 존재하며 다음과 같습니다.

‘Chrome', 'Firefox', 'Yandex', 'Safari', 'Opera', 'SeaMonkey', 'Flock', 'Thunderbird', 'K-Meleon', 'IceDragon', 'BlackHawk', 'Postbox', 'Cyberfox', 'Pale Moon', 'FossaMail', 'Lunascape6', 'Titan Browser', 'Chromium', 'Spark', 'RockMelt', 'Nichrome', 'Dragon', 'Mustang', 'Superbird', 'Coowon', 'Orbitum', 'Iridium', 'Epic Privacy', 'Torch', 'Vivaldi', '360Browser', 'Citrio', 'Waterfox', 'QtWeb'


위 브라우저가 확인될 경우, 레지스트리 또는 파일을 통해 계정 정보를 탈취합니다.


[그림 7] 웹 브라우저 정보 탈취 코드


또한 감염 PC가 이메일 서버일 경우, SQL 쿼리 문이나 레지스트리 등을 확인하여 계정 정보 등을 탈취합니다. 다음은 이메일 정보 탈취 코드 일부입니다.


[그림 8] 이메일 정보 탈취 코드


수집되는 시스템 정보는 사용자 이름, 컴퓨터 이름, 바탕화면 크기, 관리자 권한 실행 유무의 시스템 정보가 있습니다.


[그림 9] 시스템 정보 탈취 코드


수집된 정보를 C&C에 정보 전송하는 화면은 다음과 같습니다.


[그림 10] C&C에 정보를 전송하는 화면


2. 원격제어 기능


공격자 서버 C&C로부터 명령을 받아 수행하는 데, 수행되는 기능은 정보 탈취, 추가 페이로드 다운로드 및 실행, 자가 종료 기능이 포함되어 있습니다.


다음은 원격제어 기능 수행 코드입니다.


[그림 11] 원격제어 기능 수행 코드


[C&C 정보]

- http://iceslyt.ru/ng/Panel/fre[.]php

- http://farmfit.ru/phazzy/Panel/fre[.]php


이와 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.


현재 알약에서는 해당 악성 파일에 대해 Spyware.InfoStealer.FTP으로 탐지 중에 있습니다.



티스토리 방명록 작성
name password homepage