포스팅 내용

악성코드 분석 리포트

TA505조직, 또다시 엑셀 문서로 위장한 악성 이메일 유포해


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


금일(2019년 05월 08일) 오전부터 '수정 부분 번역 요청' 혹은 '서류'라는 MS Excel(.xls) 파일을 위장한 악성 파일이 포함된 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 


이 피싱 메일은 지난 5월 2일에도 대량으로 유포된 적이 있었던 바 있습니다.



[그림 1]  '수정 부분 번역 요청' 제목으로 전달된 악성 피싱 메일


[그림 2] '서류'라는 제목으로 전달된 악성 피싱 메일 삼성 갤럭시 스마트폰에서 보냈다는 메시지 포함


메일 발신자명은 '법무팀' 혹은 Kyesungxxxx(랜덤4자리숫자)으로 되어 있으며, 메일 도메인 주소는 모두 다릅니다.


특히 '수정 부분 번역 요청'이라는 제목의 메일 본문 내용에는 실제 업무 메일과 매우 흡사한 형태의 메시지와 실제 존재하는 회사와 담당자명이 기재되어 있어, 메일 수신자로 하여금 메일 첨부파일을 자연스럽게 열도록 유도하고 있습니다.


메일에 첨부된 Excel 파일을 열어보면 다음과 같이 XML 매크로를 사용하도록 유도하는 안내 문구를 확인하실 수 있습니다.


[그림 3] 매크로 사용을 유도하는 악성 Excel 파일 내용


보안 경고를 무시하고 콘텐츠 사용을 클릭해 XML 매크로를 실행하면 엑셀에 작성된 코드를 통해 악성 파일이 사용자 PC로 다운로드됩니다.


악성파일을 다운로드하는 링크는 아래와 같이 엑셀 숨김시트에 숨겨져 있으며, 마지막 3번째 시트에 다운로드 링크가 숨겨져 있습니다. 


[그림 4] Excel 숨김 시트 화면


최종 악성코드는 작성된 2가지 링크를 통해 나누어 다운로드가 진행되며, 이는 1차 다운로드 파일에서 백신 검사를 통해 최종 페이로드 탐지를 우회하기 위함으로 보입니다.


[그림 5] Excel 숨김시트에 삽입된 XML 코드


ESRC에서는 해당 공격이 TA505 공격 그룹에 의한 소행이라고 판단하고 있습니다.


이와 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.


현재 알약에서는 해당 악성 파일에 대해 Trojan.Downloader.XLS.gen으로 탐지 중에 있습니다.



티스토리 방명록 작성
name password homepage