포스팅 내용

악성코드 분석 리포트

TA505 그룹, 거래내역서, 견적서, 영수증 등으로 사칭해 Ammyy RAT 유포


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


금일 (2019년 06월 03일), TA505 그룹이 악성 HTML 파일을 포함한 피싱 메일이 대량으로 유포하고 있어 사용자들의 주의가 필요합니다.


금일 발견된 악성 피싱 메일은 중소기업을 사칭한 거래 내역서, 견적서, 영수증 등의 다양한 내용을 담고 있으며, HTML 또는 HTM 파일을 첨부했습니다.




[그림 1] TA505 그룹이 유포한 다양한 악성 피싱 메일


악성 피싱 메일에 첨부된 html 및 htm 파일은 "2019+MM+DD_랜덤숫자 6자리" 형태이며, 해당 HTML 파일을 확인해 보면 아래와 같은 경로에서 악성 Excel 파일을 다운로드하는 것을 알 수 있습니다.


[그림 2] 악성 Excel 파일 다운로드 경로


사용자가 다운로드 된 Excel 파일을 거래 내역서, 견적서, 영수증 등의 파일로 착각해 실행한다면 아래와 같이 매크로 실행을 유도하는 내용을 확인하실 수 있습니다.


[그림 3] 매크로 실행을 유도하는 Excel 파일


이번에 발견된 악성 Excel 파일 숨김시트가 아닌, UserForm에 C2 주소가 삽입되어 있으며, 여기서 악성 매크로를 불러옵니다.


[그림 4] UserForm에 삽입된 C2 주소


악성 파일이 사용자 PC까지 다운로드되는 흐름은 아래와 같습니다.


[그림 5] 악성 페이로드 다운로드 흐름


첨부된 Excel 파일의 Userform 확인 결과 악성 파일 유포지인 C&C 주소는 아래와 같았습니다.

- hxxp://vairina[.]top/20190706_089785.xls

- hxxp://citroenmehari[.]dk/20190706_066381.xls

- hxxp://waiireme[.]com/20190706_983782.xls

- hxxp://vairina[.]top

- hxxp://waiireme[.]com


최종 페이로드 경로는 아래와 같으며, RAT(Remote Admin Tool) 기능을 메인으로 하는 "Ammyy RAT"을 통해 사용자 PC를 조작할 수 있습니다.

C:\Documents and Settings\All Users\Application Data\NuGets\wsus.exe


따라서, 출처가 불분명한 사용자에게서 온 메일인 경우 메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다.


금일 발견된 악성 샘플과 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.


현재 알약에서는 해당 악성 파일에 대해 'Backdoor.RAT.FlawedAmmyy, Trojan.Downloader.XLS.gen, Trojan.Downloader.HTML.Agent'으로 탐지 중에 있습니다.




티스토리 방명록 작성
name password homepage