포스팅 내용

악성코드 분석 리포트

TA505, 반출 신고서, 출근부 등을 위장한 새로운 악성 파일 유포중!


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


금일 (2019년 05월 21일)오전 한국의 여러 기업을 대상으로 반출 신고서, 출근부 등으로 위장한 악성 파일이 포함된 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 


이 피싱 메일은 지난 5월 16일에도 대량으로 유포된적 있으며, ESRC에서는 해당 공격이 TA505 공격 그룹에 의한 소행이라고 판단하고 있습니다.




[그림 1]  '반출 신고서', '출근부' 제목으로 전달된 악성 피싱 메일


이번에 발견된 악성 메일은 다양한 중소기업과 사용자명을 사칭하였으며, 메일 하단의 전자서명 서식도 교묘하게 도용하였습니다.


본문 메일 내용은 한 줄 또는 두 줄로 짧지만, 전자서명 및 실존하는 회사명과 이름을 사칭하여 메일의 신뢰도를 높였습니다.


악성 피싱 메일에 첨부된 첨부파일은 대부분 MS Excel(.xls) 파일입니다.


[그림 2] 수집된 MS Excel 악성 파일 화면


이번에 발견된 Excel 파일의 경우 '그림'이라는 뜻을 가진 'рисунок' 러시아어를 확인하실 수 있습니다.


[그림 3] 수집된 MS Excel 악성 파일 화면


또한, 해당 파일에는 'PEGASEAL LTD'라는 유효한 서명도 존재합니다.


[그림 4] 악성 파일의 디지털 서명 정보


이번에 발견된 악성  Excel 파일은 이전에 발견된 악성 파일과 다르게 숨김시트가 아닌, UserForm에 C2 주소가 삽입되어 있으며, 여기서 악성 매크로를 불러옵니다.



[그림 5] UserForm 안의 C2 주소 및 명령어


UserForm 확인 결과 tmp(lecmess[.]top/tmp)에서 아래와 같은 파일을 받아오는 것을 확인할 수 있었습니다.


- 45.76.223.177/02[.]dat

- C:\Documents and Settings\All Users\Application Data\NuGets\wsus.exe


최종 악성 페이로드인 wsus.exe는 Flawed Ammyy 류의 악성코드로 확인되었습니다.


금일 발견된 악성 샘플과 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.


현재 알약에서는 해당 악성 파일에 대해 'Trojan.Downloader.X97M.Gen, Backdoor.RAT.FlawedAmmyy, Backdoor.Agent.RAbased'으로 탐지 중에 있습니다.



티스토리 방명록 작성
name password homepage