상세 컨텐츠
본문
안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
2019년 08월 05일, 납세서 송장으로 위장한 악성 이메일이 국내 기업에 복수적으로 전파된 정황이 포착되어 사용자들의 각별한 주의가 필요합니다.
[그림 1] 납세서 송장으로 위장한 악성 메일
이번에 발견된 악성 메일은 한국 도메인에서 발송되어 유포되고 있습니다.
피싱 메일에는 "첨부 된 납세서 송장보기"라는 내용으로 간단하게 작성되어 있으며, 마지막에는 "감사"라는 멘트로 보아 다소 어눌한 한국어 표현 사용한 것이 특징입니다.
또한, 악성 행위를 하는 실행파일을 포함한 RAR 파일을 첨부했는데, RAR 내부에 ISO 파일로 이중 압축하여 보안 기능을 최대한 회피하려 시도하였습니다.
[그림 2] RAR파일 안의 ISO 파일로 이중압축한 악성파일 화면
File Name |
MD5 |
awele3884F.iso |
C8537218583E44DB6C822B9AA7CD7D52 |
awele3884F.exe |
9D721255CFE9CF45D35B50707422E755 |
악성코드 최종 기능은 Wacatac 계열의 봇(RAT)이며, 정상 프로세스에 악성코드를 인젝션한 후 사용자 PC의 정보를 탈취하는 기능을 수행합니다.
따라서, 출처가 불분명한 사용자에게서 온 메일인 경우 메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다.
현재 알약에서는 해당 악성 파일에 대해 'Trojan.Agent.368640B'으로 탐지 중에 있습니다.
'악성코드 분석 리포트' 카테고리의 다른 글
| 비너스락커(VenusLocker) 조직, 입사지원서를 위장한 소디노키비 랜섬 유포로 컴백 (0) | 2019.08.05 |
|---|---|
| 금성121 APT 조직, 스테가노그래피 기법과 스마트폰 노린 퓨전 공격 수행 (0) | 2019.08.05 |
| 금성121 조직, 라자루스로 위장한 APT '이미테이션 게임' 등장 (0) | 2019.08.03 |
| [주의] 특정 대학교를 타깃으로 한 스피어 피싱 공격 포착 (0) | 2019.08.02 |
| 라자루스 APT, 국내 보안업체의 유효한 디지털서명을 탑재한 악성코드 주의! (0) | 2019.07.30 |
댓글 영역