[주의] TA505 그룹, 송금증 내용을 위장한 악성 피싱메일 대량 유포 중!

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

금일 (2019년 06월 20일) 오전부터 국내 기업들에 송금증 내용으로 위장한 악성 이메일이 다량 유포되고 있습니다. 

피싱 메일이 회계 관련 내용인 만큼 회계 관련 업무를 보시는 분들의 각별한 주의가 필요합니다.

[그림 1] 송금증 내용을 위장한 악성 피싱 메일

ESRC에서는 긴급 대응 진행 중이며, TA505 그룹이 유포한 것으로 파악하고 있습니다.

금일 발견된 악성 피싱 메일은 중소기업을 사칭하며 "송금증 $(랜덤숫자)" 제목으로 유포되고 있습니다. 

메일 내용은 간단하게 "파일 보내드립니다"라고 적혀있습니다.

금일 발견된 메일에는 XLS, DOC 등 MS Office 문서를 악용한 악성 파일이 첨부되어 있으며, "날짜 + 송금증 + 랜덤값"의 파일명을 가지고 있습니다. 

또한, 이번에 발견된 문서 파일을 열어보면 아래와 같이 매크로 실행을 유도하는 내용을 확인하실 수 있습니다.

[그림 2] 송금증 내용을 위장한 악성 피싱 파일

악성 엑셀 파일을 살펴보면 그림과 같이 러시아어 리스트라는 시트명을 확인하실 수 있습니다.

이번에 발견된 악성 Excel 파일 및 Word 파일은 UserForm에 C2 주소가 삽입되어 있으며, 여기서 악성 매크로를 불러옵니다.

[그림 3] UserForm에 삽입된 C2 주소(Excel)

[그림 4] UserForm에 삽입된 C2 주소(Word)

이번에 발견된 악성 파일 유포지인 C&C 주소는 아래와 같습니다.

- hxxp://179.43.147[.]77/pm1

- hxxp://179.43.147[.]77/pm2

- hxxp://orderlynet[.]net/r5.exe

- hxxp://179.43.147[.]77/p1

- hxxp://179.43.147[.]77/p2

- hxxp://54.38.127.28/pm3

- hxxp://54.38.127.28/pm4

최종 페이로드 경로는 아래와 같으며, RAT(Remote Admin Tool) 기능을 메인으로 하는 "Ammyy RAT"을 통해 사용자 PC를 조작할 수 있습니다.

C:\ProgramData\NuGets\wsus.exe

따라서, 출처가 불분명한 사용자에게서 온 메일인 경우 메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다.

금일 발견된 악성 샘플과 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.

현재 알약에서는 해당 악성 파일에 대해 'Backdoor.RAT.FlawedAmmyy, Trojan.Downloader.XLS.gen, Trojan.Downloader.DOC.gen'으로 탐지 중에 있습니다.

※ 관련글 보러가기

▶ 유출된 소스코드 기반으로 제작된 악성코드 유포 주의 (2019.02.14)

▶ Trojan.Ransom.Clop 악성코드 분석 보고서 (2019.03.22)

▶ 클롭(Clop) 랜섬웨어 유포 조직이 진행하는 기업 타깃 대량공격 주의! (2019.04.24)

▶ TA505 조직, 요청자료 엑셀문서처럼 위장해 한국에 악성 이메일 유포 중 (2019.05.02)

▶ TA505조직, 또다시 엑셀 문서로 위장한 악성 이메일 유포해 (2019.05.08)

▶ TA505조직, 다양한 피싱 메일 형태로 악성 설치파일 유포 주의! (2019.05.16)

▶ TA505, 반출 신고서, 출근부 등을 위장한 새로운 악성 파일 유포중! (2019.05.21)

▶ TA505 그룹, 국세청 사칭해 악성 메일 대량 유포 중! (2019.05.28)

▶ TA505 그룹, 거래내역서, 견적서, 영수증 등으로 사칭해 Ammyy RAT 유포 (2019.06.03)