포스팅 내용

악성코드 분석 리포트

[주의] TA505 그룹, 송금증 내용을 위장한 악성 피싱메일 대량 유포 중!


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


금일 (2019년 06월 20일) 오전부터 국내 기업들에 송금증 내용으로 위장한 악성 이메일이 다량 유포되고 있습니다. 


피싱 메일이 회계 관련 내용인 만큼 회계 관련 업무를 보시는 분들의 각별한 주의가 필요합니다.


[그림 1] 송금증 내용을 위장한 악성 피싱 메일


ESRC에서는 긴급 대응 진행 중이며, TA505 그룹이 유포한 것으로 파악하고 있습니다.


금일 발견된 악성 피싱 메일은 중소기업을 사칭하며 "송금증 $(랜덤숫자)" 제목으로 유포되고 있습니다. 


메일 내용은 간단하게 "파일 보내드립니다"라고 적혀있습니다.


금일 발견된 메일에는 XLS, DOC 등 MS Office 문서를 악용한 악성 파일이 첨부되어 있으며, "날짜 + 송금증 + 랜덤값"의 파일명을 가지고 있습니다. 


또한, 이번에 발견된 문서 파일을 열어보면 아래와 같이 매크로 실행을 유도하는 내용을 확인하실 수 있습니다.



[그림 2] 송금증 내용을 위장한 악성 피싱 파일


악성 엑셀 파일을 살펴보면 그림과 같이 러시아어 리스트라는 시트명을 확인하실 수 있습니다.


이번에 발견된 악성 Excel 파일 및 Word 파일은 UserForm에 C2 주소가 삽입되어 있으며, 여기서 악성 매크로를 불러옵니다.


[그림 3] UserForm에 삽입된 C2 주소(Excel)


[그림 4] UserForm에 삽입된 C2 주소(Word)


이번에 발견된 악성 파일 유포지인 C&C 주소는 아래와 같습니다.

- hxxp://179.43.147[.]77/pm1

- hxxp://179.43.147[.]77/pm2

- hxxp://orderlynet[.]net/r5.exe

- hxxp://179.43.147[.]77/p1

- hxxp://179.43.147[.]77/p2

- hxxp://54.38.127.28/pm3

- hxxp://54.38.127.28/pm4


최종 페이로드 경로는 아래와 같으며, RAT(Remote Admin Tool) 기능을 메인으로 하는 "Ammyy RAT"을 통해 사용자 PC를 조작할 수 있습니다.


C:\ProgramData\NuGets\wsus.exe


따라서, 출처가 불분명한 사용자에게서 온 메일인 경우 메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다.


금일 발견된 악성 샘플과 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.


현재 알약에서는 해당 악성 파일에 대해 'Backdoor.RAT.FlawedAmmyy, Trojan.Downloader.XLS.gen, Trojan.Downloader.DOC.gen'으로 탐지 중에 있습니다.




티스토리 방명록 작성
name password homepage