TA505 그룹, 국세청 사칭해 악성 메일 대량 유포 중!

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

금일 (2019년 05월 28일), 국세청을 사칭하고 '피고인 심문에 대한 소한 안건'이라는 메일 제목으로, 악성 파일을 포함한 메일이 유포되고 있습니다.

ESRC에서는 해당 피싱 메일이 TA505 조직이 유포한 것으로 추정하고 있으며, TA505 조직은 지난 5월 21일에도 대량으로 비슷한 악성 파일을 유포했습니다.

[그림 1]  한국 국세청을 사칭한 악성 피싱 메일

이번에 포착한 악성 메일을 분석한 결과, 지난 3월 리플라이 오퍼레이터 조직이 유포한 메일의 본문 내용을 그대로 참고한 것을 알 수 있었습니다.

[그림 2] 리플라이 오퍼레이터 vs TA505 국세청 사칭 메일 

이번에 발견된 메일에도 기존과 동일하게 악성 Excel 파일이 첨부되어 있으며, XML 매크로를 사용하도록 유도하는 문구를 확인하실 수 있습니다.

[그림 3] XML 매크로 사용을 유도하는 악성 Excel 파일

이번에 발견된 악성 Excel 파일은 5/21일 발견된 악성파일과 동일하게 숨김시트가 아닌, UserForm에 C2 주소가 삽입되어 있으며, 여기서 악성 매크로를 불러옵니다.

[그림 4] UserForm 안의 C2 주소 및 명령어

UserForm 확인 결과 'hxxp://furhatsth[.]net/'에서 아래와 같은 파일을 받아오는 것을 확인할 수 있었습니다.

- hxxp://furhatsth[.]net/q1

- hxxp://furhatsth[.]net/q2

- hxxp://furhatsth[.]net/q3

- hxxp://furhatsth[.]net/q4

위의 C&C 서버를 통해 다운로드되는 q1~q4 파일은 다운로더로서 'http://116.203.180.29/01[.]dat'에 접속한 후 악성코드를 다운로드합니다.

그리고 사용자 PC의 "C:\ProgramData\NuGets\wsus.exe" 경로에서 악성 파일을 실행합니다. 

그러나 현재 해당 서버는 차단된 상태이기 때문에, 정확히 어떤 코드인지는 알 수 없지만 'wsus.exe'라는 이름으로 보았을 때 "Ammyy RAT"으로 추정하고 있습니다.  

최근 사이버 범죄 그룹들이 사용자 PC 감염을 위해 다른 범죄 그룹이 사용한 공격 기법 및 피싱 메일을 참고하여 공격하고 있습니다. 

따라서, 관공서에서 온 메일인 것처럼 꾸몄지만 출처가 불분명한 사용자에게서 온 메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다.

금일 발견된 악성 샘플과 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.

현재 알약에서는 해당 악성 파일에 대해 'Trojan.Downloader.X97M.Gen, Trojan.Kryptik.gen'으로 탐지 중에 있습니다.

※ 관련글 보러가기

▶ 유출된 소스코드 기반으로 제작된 악성코드 유포 주의 (2019.02.14)

▶ Trojan.Ransom.Clop 악성코드 분석 보고서 (2019.03.22)

▶ 클롭(Clop) 랜섬웨어 유포 조직이 진행하는 기업 타깃 대량공격 주의! (2019.04.24)

▶ TA505 조직, 요청자료 엑셀문서처럼 위장해 한국에 악성 이메일 유포 중 (2019.05.02)

▶ TA505조직, 또다시 엑셀 문서로 위장한 악성 이메일 유포해 (2019.05.08)

▶ 한국어 구사 Konni 조직, 블루 스카이 작전 'Amadey' 러시아 봇넷 활용 (2019.05.16)

▶ TA505조직, 다양한 피싱 메일 형태로 악성 설치파일 유포 주의! (2019.05.16)

▶ TA505, 반출 신고서, 출근부 등을 위장한 새로운 악성 파일 유포중! (2019.05.21)