클롭(Clop) 랜섬웨어 유포 조직이 진행하는 기업 타깃 대량공격 주의!

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

금일(4/24) '04-23 자금일보'라는 내용의 제목으로 '20180423 출납일보.xls' 악성파일을 첨부한 메일이 불특정다수에게 대량으로 유포중인 상태로 사용자들의 주의가 필요합니다.

[그림 1] '04-23 자금일보' 제목의 악성 메일 화면

※ 자금일보란?

일일 및 월단위의 자금의 흐름을 한눈에 파악하기 위하여 자금을 담당하는 담당자가 작성하는 자금관련 총괄표

※ 출납일보란?

현금시재현황, 예금현황, 현금출납적요, 입금, 출금, 대체입금, 금액 등의 항목으로 구성된 장부

위의 단어에서 봐도 알 수 있듯이, 기업에서 근무하는 회계, 경리업무 담당자이 관심을 가질만한 내용으로 현재 악성메일이 대량 유포중인 상황입니다.

주목할 만한 점은 이전에 송장, 인보이스로 사칭해서 악성메일을 뿌렸고 가장 최근에는 기업환경에서 크게 이슈가 되었던 클롭(Clop) 랜섬웨어 유포 과정과 동일하게 진행되는 프로세스로 공격이 이뤄지고 있다는 점입니다.

이를 통해 ESRC에서는 해당 공격이 TA505 공격그룹에 의한 소행이라고 판단하고 있습니다. TA505 공격그룹은 러시아 정부 지원을 받는 조직으로 추정됩니다. 

※  관련글 보러가기

▶ 유출된 소스코드 기반으로 제작된 악성코드 유포 주의 (2019.02.14)

▶ 기업들을 대상으로 유포되고 있는 클롭(CLOP) 랜섬웨어 주의! (2019.03.05)

▶ Trojan.Ransom.Clop 악성코드 분석 보고서 (2019.03.22)

▶ 국내에 대량 유포중인 새로운 송장/인보이스 사칭 악성 이메일 주의! (2019.03.07)

공격자는 최초에 김은혜라는 이름을 가진 다양한 이메일 주소를 활용하여 기업 회계, 경리 담당자 타깃으로 악성메일을 유포합니다. 

업무 관련 메일로 착각하여 사용자가 xls 첨부파일을 열람하게 되면, 시트가 숨겨져 있고, 매크로 사용 활성화를 유도하는 메시지를 MS 오피스 로고와 함께 보여줍니다.

[그림 2] 악성 xls파일을 열람할 때 보여지는 MS오피스 사칭 화면

엑셀 매크로를 사용할 수 있도록 '컨텐츠 사용' 버튼을 클릭하면 숨겨져 있는 시트에 작성된 특정 C&C 주소로 접속을 시도하고 악성 페이로드인 wsus.exe 파일을 다운로드 및 실행합니다. 

최종적으로 실행되는 wsus.exe는 원격제어 악성코드로써 명령줄 실행, 사용자 정보 수집, 권한 상승 등 기능을 수행합니다. 이 악성코드는 상업용 원격제어 프로그램인 ‘Ammyy Admin’의 유출된 소스코드를 기반으로 제작되었습니다.

 

해당 wsus.exe 파일은 유효한 인증서를 포함하고 있기 때문에 일부 보안솔루션으로부터 탐지 우회가 가능한 상태이며 4/24 오전까지 많은 기업에 유포가 진행되고 있습니다. 

공격 흐름도를 정리하면 다음과 같습니다.

[그림 3] wsus.exe 파일 유포 흐름도

따라서 출처가 불분명한 사용자에게서 온 이메일에 포함된 하이퍼링크 혹은 첨부파일 클릭을 지양해야 하며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인하여야 합니다.

또한 기업의 보안담당자들은 해당 악성코드가 연결시도하는 유포지 URL 및 C&C URL에 대한 차단을 진행하셔야 합니다. 

**유포지 URL

- 27.102.118[.]143/dom1

- 160.202.162[.]147/1.tmp ==> wsus.exe

**C&C URL

- 169.239.128[.]119:80

이와 관련된 자세한 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.

현재 알약에서는 해당 악성 파일에 대해 Trojan.Downloader.XLS.gen, Trojan.Downloader.159744B, Backdoor.Agent.RAbased으로 탐지 중에 있습니다.