포스팅 내용

악성코드 분석 리포트

TA505 조직, 요청자료 엑셀문서처럼 위장해 한국에 악성 이메일 유포 중


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


금일(2019년 05월 02일) '요청자료'라는 MS Excel(.xls) 파일을 위장한 악성 파일이 포함된 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 


[그림 1] '요청자료'를 위장한 악성 피싱 메일1


[그림 2] '요청자료'를 위장한 악성 피싱 메일2


두 메일은 모두 발신자명이 '최성은'으로 동일하며, 도메인은 각기 다른 것을 확인하실 수 있습니다. 또한 메일 제목은 '서류(두번째)'라는 수신자의 흥미를 끌만한 타이틀로 작성되어 있습니다.


메일 내용 또한 '파일보내드립니다.'라는 짧은 문구와 '요청자료2.xls'이라는 MS Excel 파일을 첨부해 해당 메일을 받은 담당자가 확인할 자료가 있는지 헷갈리도록 만들었습니다.


메일에 첨부된 Excel 파일을 열어보면 다음과 같이 XML 매크로를 사용하도록 유도하는 안내 문구를 확인하실 수 있습니다.


[그림 3] 매크로 사용을 유도하는 악성 Excel 파일 내용


보안 경고를 무시하고 콘텐츠 사용을 클릭해 XML 매크로를 실행하면 엑셀에 작성된 코드를 통해 악성 파일이 사용자 PC로 다운로드됩니다.


악성파일을 다운로드하는 링크는 아래와 같이 엑셀 숨김시트에 숨겨져 있으며, 숨겨져 있는 시트 3개(2,4,3) 중 상위 2개(2,4)는 페이크 시트이며 마지막 3번째 시트에 다운로드 링크가 숨겨져 있습니다.



[그림 4] Excel 숨김시트에 삽입된 XML 코드


최종 악성코드는 작성된 2가지 링크를 통해 나누어 다운로드가 진행되며, 이는 1차 다운로드 파일에서 백신 검사를 통해 최종 페이로드 탐지를 우회하기 위함으로 보입니다.


다운로드된 악성 파일 cykom1.msi을 실행하면 EXE to MSI 컨버터 화면이 팝업되면서 wsus.exe를 설치합니다. 


[그림 5] Exe to msi converter free 화면


설치된 wsus.exe 파일은 'C:\ProgramData\Microsofts HeIp' 경로에 설치되며, 특이하게 Help 부분의 알파벳 스펠링이 L이 아닌 I라는 특징이 있습니다.


최종적으로 실행되는 wsus.exe는 원격제어 악성코드로 명령줄 실행, 사용자 정보 수집, 권한 상승 등의 기능을 수행합니다.


또한, ESRC에서는 첨부된 악성 Excel 파일이 아래의 C&C 서버로 통신하는 것을 확인할 수 있었습니다.


[그림 6] C&C 서버와 통신 내역 화면


ESRC에서는 해당 공격이 TA505 공격 그룹에 의한 소행이라고 판단하고 있습니다.


또한, 최종 페이로드인 wsus.exe 파일은 Ammyy RAT인 것으로 추정하고 있으며, 이와 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.


현재 알약에서는 해당 악성 파일에 대해 Trojan.Downloader.X97M.Gen, Trojan.Downloader.XLS.gen, Trojan.Agent.Fuery.Gen, Backdoor.RAT.FlawedAmmyy으로 탐지 중에 있습니다.






티스토리 방명록 작성
name password homepage