포스팅 내용

악성코드 분석 리포트

TA505 그룹, 국세청 홈택스 사칭해 악성 메일 대량 유포 중!


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


금일 (2019년 05월 30일), 국세청을 사칭하고 '송장'이라는 메일 제목으로, 악성 파일을 포함한 메일이 유포되고 있어 세금계산서 담당자 및 기업의 회계 담당자분들의 주의가 필요합니다.


해당 악성 메일에는 국세청 홈택스에서 보낸 것처럼 "국세청 전자[세금]계산서" 발급 안내 이미지를 포함하고 있으며, 첨부파일 또한 "eTaxInvoice"라는 이름으로 사용자가 별다른 의심 없이 첨부파일을 다운로드할 가능성이 높습니다.


ESRC에서는 해당 피싱 메일이 TA505 조직이 유포한 것으로 추정하고 있으며, TA505 조직이 유포하는 악성 메일 내용이 더욱 정교해지고 있습니다.


[그림 1]  국세청 인보이스를 사칭한 악성 피싱 메일


이번에 발견된 악성 메일에는 "eTaxInvoice_377275.html"라는 HTML 파일이 첨부되어 있으며, 해당 HTML 파일을 확인해 보면 아래와 같은 경로에서 악성 Excel 파일을 다운로드하는 것을 알 수 있습니다.




[그림 2] 악성 Excel 파일을 다운로드하는 인보이스를 사칭한 HTML 파일


악성 메일을 받은 사용자가 "eTaxInvoice_377275.html" 파일을 국세청에서 온 송장으로 착각해 실행하면 아래와 같은 악성 Excel 파일을 다운로드합니다.


이번에 발견된 악성 Excel 파일은 5/21 및 5/28일 발견된 악성파일과 동일하게 숨김시트가 아닌, UserForm에 C2 주소가 삽입되어 있으며, 여기서 악성 매크로를 불러옵니다.



[그림 3] "eTaxInvoice_377275.html"를 통해 다운로드된 Excel 파일


UserForm 확인 결과 아래의 주소에서 악성 파일을 받아오는 것을 확인할 수 있었습니다.

- 172.104.104[.]166/m1

- 172.104.104[.]166/m2


위의 C&C 서버를 통해 "100.exe"라는 악성 파일이 다운로드되며, 'http://66.42.45.55/02[.]dat'에 접속한 후 최종 페이로드인 "wsus.exe"를 다운로드합니다.


최종 페이로드 경로:

C:\Documents and Settings\All Users\Application Data\NuGets\wsus.exe


ESRC에서는 금일 발견된 국세청 사칭 인보이스 메일과 비슷한 내용의 악성메일 및 변종 Excel 파일이 다량으로 유포될 것으로 추측하고 있으며, 금일 확인된 유포지 주소는 KISA에 긴급 차단 요청드린 상태입니다.


금일 발견된 악성 파일은 RAT(Remote Admin Tool) 기능을 메인으로 하는 "Ammyy RAT"이며, 원격의 공격자는 해당 기능을 통해 사용자 PC를 조작할 수 있습니다.


따라서, 출처가 불분명한 사용자에게서 온 메일인 경우 메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다.


금일 발견된 악성 샘플과 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.


현재 알약에서는 해당 악성 파일에 대해 'Backdoor.RAT.FlawedAmmyy, Trojan.Downloader.XLS.gen'으로 탐지 중에 있습니다.




티스토리 방명록 작성
name password homepage