TA505 그룹, 거래내역서, 견적서, 영수증 등으로 사칭해 Ammyy RAT 유포

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

금일 (2019년 06월 03일), TA505 그룹이 악성 HTML 파일을 포함한 피싱 메일이 대량으로 유포하고 있어 사용자들의 주의가 필요합니다.

금일 발견된 악성 피싱 메일은 중소기업을 사칭한 거래 내역서, 견적서, 영수증 등의 다양한 내용을 담고 있으며, HTML 또는 HTM 파일을 첨부했습니다.

[그림 1] TA505 그룹이 유포한 다양한 악성 피싱 메일

악성 피싱 메일에 첨부된 html 및 htm 파일은 "2019+MM+DD_랜덤숫자 6자리" 형태이며, 해당 HTML 파일을 확인해 보면 아래와 같은 경로에서 악성 Excel 파일을 다운로드하는 것을 알 수 있습니다.

[그림 2] 악성 Excel 파일 다운로드 경로

사용자가 다운로드 된 Excel 파일을 거래 내역서, 견적서, 영수증 등의 파일로 착각해 실행한다면 아래와 같이 매크로 실행을 유도하는 내용을 확인하실 수 있습니다.

[그림 3] 매크로 실행을 유도하는 Excel 파일

이번에 발견된 악성 Excel 파일 숨김시트가 아닌, UserForm에 C2 주소가 삽입되어 있으며, 여기서 악성 매크로를 불러옵니다.

[그림 4] UserForm에 삽입된 C2 주소

악성 파일이 사용자 PC까지 다운로드되는 흐름은 아래와 같습니다.

[그림 5] 악성 페이로드 다운로드 흐름

첨부된 Excel 파일의 Userform 확인 결과 악성 파일 유포지인 C&C 주소는 아래와 같았습니다.

- hxxp://vairina[.]top/20190706_089785.xls

- hxxp://citroenmehari[.]dk/20190706_066381.xls

- hxxp://waiireme[.]com/20190706_983782.xls

- hxxp://vairina[.]top

- hxxp://waiireme[.]com

최종 페이로드 경로는 아래와 같으며, RAT(Remote Admin Tool) 기능을 메인으로 하는 "Ammyy RAT"을 통해 사용자 PC를 조작할 수 있습니다.

C:\Documents and Settings\All Users\Application Data\NuGets\wsus.exe

따라서, 출처가 불분명한 사용자에게서 온 메일인 경우 메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다.

금일 발견된 악성 샘플과 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.

현재 알약에서는 해당 악성 파일에 대해 'Backdoor.RAT.FlawedAmmyy, Trojan.Downloader.XLS.gen, Trojan.Downloader.HTML.Agent'으로 탐지 중에 있습니다.

※ 관련글 보러가기

▶ 유출된 소스코드 기반으로 제작된 악성코드 유포 주의 (2019.02.14)

▶ Trojan.Ransom.Clop 악성코드 분석 보고서 (2019.03.22)

▶ 클롭(Clop) 랜섬웨어 유포 조직이 진행하는 기업 타깃 대량공격 주의! (2019.04.24)

▶ TA505 조직, 요청자료 엑셀문서처럼 위장해 한국에 악성 이메일 유포 중 (2019.05.02)

▶ TA505조직, 또다시 엑셀 문서로 위장한 악성 이메일 유포해 (2019.05.08)

▶ 한국어 구사 Konni 조직, 블루 스카이 작전 'Amadey' 러시아 봇넷 활용 (2019.05.16)

▶ TA505조직, 다양한 피싱 메일 형태로 악성 설치파일 유포 주의! (2019.05.16)

▶ TA505, 반출 신고서, 출근부 등을 위장한 새로운 악성 파일 유포중! (2019.05.21)

▶ TA505 그룹, 국세청 사칭해 악성 메일 대량 유포 중! (2019.05.28)