상세 컨텐츠
본문
안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
2019년 06월 24일, 세금 계산서를 사칭한 악성 이메일이 국내 기업에 다량으로 유포된 정황이 포착되어 사용자들의 각별한 주의가 필요합니다.
[그림 1] 세금 계산서를 사칭한 피싱 메일
이번에 발견된 피싱 메일은 어눌한 한국어로 본문이 작성되었으며, "tax@taesungmarine.com"이라는 발신자명을 사용하여 세금계산서 관련 담당자가 보낸 메일인 것처럼 꾸미려고 하였습니다.
File Name |
MD5 |
19030#5630.zip |
b534f496ca813f0b5203364576fb2112 |
만약 해당 메일을 받은 사용자가 세금 계산서 관련 파일로 착각해 첨부된 ZIP 파일을 다운로드하고 압축 해제하면 다음과 같이 ISO 파일을 확인하실 수 있습니다.
File Name |
MD5 |
19030#5630.iso |
79d7132845f47db0375b876230acf045 |
[그림 2] 첨부파일 안의 악성 ISO 파일
이번에 발견된 악성 파일은 iso -> zip 파일로 이중 압축하여, 백신 제품의 악성 파일 탐지를 우회하려고 시도하였습니다.
따라서 사용자가 ISO 파일 안의 내용을 확인하기 위해 ISO 파일을 다시 한번 압축 해제하면 아래와 같이 COM 실행 확장자를 사용하는 악성 파일을 확인할 수 있습니다.
File Name |
MD5 |
세금 계산서.com |
ef41d37337032670dad59664e5a2f0b2 |
[그림 3] 첨부파일 안의 악성 ISO 파일
실행되는 악성코드는 Formbook 악성코드로 정상 프로세스 인젝션 후, 정보 탈취 기능을 수행합니다.
[그림 4] Formbook 악성코드 화면
따라서, 출처가 불분명한 사용자에게서 온 메일인 경우 메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다.
현재 알약에서는 해당 악성 파일에 대해 'Trojan.Agent.Wacatac'으로 탐지 중에 있습니다.
※ 관련글 바로가기
▶ 국내에 유입된 전신 송금 확인 악성 메일 주의 (2018.03.06)
▶ 제품 견적서 확인 내용으로 위장한 악성 메일 주의 (2018.04.25)
▶ ACE 압축 파일이 첨부된 악성 메일 주의 (2018.05.09)
▶ 지속적으로 국내에 유입되는 배송 위장 악성 메일 주의 (2018.05.25)
▶ 상품 구매를 희망하는 내용의 악성 메일 주의 (2018.07.19)
▶ Trojan.Agent.FormBook 악성코드 분석 보고서(2018.08.16)
▶ 사용자 정보 탈취 목적의 악성 파일이 첨부된 메일 주의 (2018.09.20)
▶ 특정 기업의 프로젝트 파일처럼 위장한 악성 메일 유포 주의 (2018.10.15)
▶ DOC(RTF) 포맷을 이용한 취약점과 ZIP(내부 EXE)을 복합적으로 이용한 공격 주의! (2019.01.31)
'악성코드 분석 리포트' 카테고리의 다른 글
| 금성121 APT 조직, 안보통일관련 소식으로 스피어피싱 공격 시도 (0) | 2019.07.02 |
|---|---|
| 수입필증 및 정산서로 위장한 피싱메일 주의! (0) | 2019.07.01 |
| 비트코인 1,500만원 돌파하면서 김수키(Kimsuky) APT 공격 중 (0) | 2019.06.27 |
| 라자루스(Lazarus) APT 조직, 텔레그램 메신저로 '진실겜.xls' 악성 파일 공격 (0) | 2019.06.27 |
| 공정 부적합 사례를 위장한 피싱 메일을 통해 유포되는 Loki Bot 주의! (0) | 2019.06.24 |
댓글 영역