상세 컨텐츠
본문
안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
최근 납품 견적 의뢰 건을 사칭한 악성 메일이 유포되고 있어 이용자들의 주의를 당부드립니다.
해당 메일은 국문 및 영문으로 유포되었으며, 첨부파일로 ACE, RAR, ZIP 파일의 압축파일을 첨부한 것이 특징입니다.
[그림 1] 납품 견적 의뢰 건을 사칭한 악성 메일(국문)
[그림 2] 납품 견적 의뢰 건을 사칭한 악성 메일(영문)
두 메일을 비교해 보면, 메일 제목이나 첨부파일 형식이 동일하며 먼저 영문으로 납품 견적 의뢰 건을 사칭한 악성 메일이 유포된 후, 하루 차이로 국문 메일이 포착되었습니다.
또한 메일 분석 결과, 해당 악성 메일을 유포한 제작자가 '소재헌', 'Shinhwa Construction Co., Ltd'로 동일해, 같은 조직이 유포한 것으로 추측할 수 있었습니다.
해당 악성 메일의 첨부 파일들을 압축 해제하면 모두 PDF 파일을 사칭한 악성 EXE 파일을 확인하실 수 있습니다.
[그림 3] 첨부된 ACE, RAR, ZIP 파일 안의 악성 EXE 파일
File Name |
MD5 |
REV-PO#9890-DOC-NO12-Contract,pdf.exe |
12841b6622304cd4a8686ff33cb46d0c |
New-Order-PO38686878-Contract,pdf.exe |
115fbf643c58be55a824e8fe863ce3fd |
만약 이용자가 견적 의뢰에 대한 자세한 정보를 열람하기 위해 해당 파일을 실행할 경우, C:\Users\[사용자계정] 아래 경로에 ‘formemememem’ 폴더를 생성하고, 폴더 하위에 ‘formemememem.exe’와 ‘formemememem.vbs’ 파일을 생성합니다.
‘formemememem.exe’는 자가 복제된 악성 파일이고, ‘formemememem.vbs’는 자동 실행 레지스트리에 ‘formemememem’ 값으로 자기 자신(formemememem.vbs) 등록 및 자가 복제된 ‘formemememem.exe’ 악성 프로그램을 실행하는 악성 스크립트입니다.
[그림 4] 'formemememem.vbs' 실행 코드
'formemememem.vbs' 코드는 다음과 같습니다.
[그림 5] 'formemememem.vbs'
최종적으로 실행되는 프로세스(formemememem.exe)는 FormBook 악성코드로 정보 탈취 기능 등을 수행합니다.
현재 알약에서는 해당 악성코드에 대해 Trojan.Agent.FormBook으로 탐지 중에 있습니다.
※ 관련글 바로가기
▶ 세금 계산서를 사칭하고 이중으로 압축한 악성파일을 유포하는 공격 주의! (2019.06.27)
▶ DOC(RTF) 포맷을 이용한 취약점과 ZIP(내부 EXE)을 복합적으로 이용한 공격 주의! (2019.01.31)
'악성코드 분석 리포트' 카테고리의 다른 글
| TA505 조직, 국내 항공사 전자항공권 사칭 해킹 메일 유포 주의 (0) | 2019.07.25 |
|---|---|
| 계정 유효성 검사를 사칭한 스피어피싱 공격 주의! (0) | 2019.07.23 |
| 암호화폐 거래소 회원 겨냥한 무비코인 작전 지속… 배후에 ‘라자루스’ 조직 (0) | 2019.07.19 |
| 라자루스(Lazarus) APT 그룹, 신상명세서 문서로 위장한 공격 수행 (0) | 2019.07.15 |
| 라자루스, 시스템 포팅 명세서 사칭한 APT작전 '무비 코인' 으로 재등장 (0) | 2019.07.12 |
댓글 영역