상세 컨텐츠

본문 제목

관세 법인 뉴스레터를 사칭해 사용자 정보를 탈취하는 악성코드 주의!

악성코드 분석 리포트

by 알약(Alyac) 2019. 6. 17. 16:48

본문


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


2019년 06월 14일, 관세 법인 회사를 사칭한 피싱메일이 유포된 정황이 포착되었습니다.


[그림 1] 관세 법인 회사를 사칭한 피싱 메일 화면


피싱 메일에는 NEWSLETTER2019.pdf.iso라는 첨부 파일이 들어 있으며, 공격자는 실제 존재하는 회사명과 도메인을 이용하였습니다.


[그림 2] 도메인 비교 화면


메일에 첨부된 'NEWSLETTER2019.pdf.iso' 파일 안에는 'NEWSLETTER2019.pdf.exe'라는 악성 실행 파일이 들어 있습니다.



[그림 3] 피싱 메일에 첨부된 악성 iso 파일 및 악성 실행 파일


만약 사용자가 뉴스레터(NEWSLETTER)에 대한 자세한 정보를 열람하기 위해 파일을 클릭할 경우 C:\Users\[사용자]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\startupname.vbs 파일을 생성하고 C:\Users\[사용자]\AppData\Roaming\filename.exe 이름으로 자가 복사를 합니다.


'startupname.vbs' 코드는 다음과 같으며, 해당 코드가 실행되면 자가복제된 filename.exe가 실행됩니다.


[그림 4] filename.vbs 코드


최종적으로 실행되는 악성코드는 NanoCore로 사용자 PC에서 키로킹, 클립보드 데이터 등 다양한 정보를 탈취하여 C&C 서버(198.46.177.119 - 미국)로 전송합니다.


[그림 5] C&C 연결 코드


또한 키로킹된 데이터들은 %APPDATA%\[MachineGUID 값\]Logs\[사용자 계정 이름]\KB_[임의의 숫자 7자리].dat 파일에 저장됩니다. 


[그림 6] 키로킹 데이터가 저장된 파일


해당 악성코드는 사용자 데이터를 서버로 전송하는 기능 외에 C&C와 통신이 이루어졌을 경우, 공격자가 원격으로 PC를 제어할 수 있어 심각한 피해가 발생할 수 있습니다.

 

따라서 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가시고, 검증되지 않은 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기 바랍니다.


금일 발견된 악성 샘플과 관련된 자세한 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.


현재 알약에서는 메일에 첨부된 악성 파일을 'Backdoor.RAT.MSIL.NanoCore'로 진단하고 있습니다.




관련글 더보기

댓글 영역