TA505조직, 스캔파일로 위장한 악성메일 대량 유포중!

안녕하세요.

이스트시큐리티 시큐리티대응센터(ESRC)입니다.

금일(2019년 8월 9일) 오전부터 국내 기업들을 대상으로 스캔파일 내용으로 위장한 악성 이메일이 대량으로 유포중입니다. 

ESRC에서는 대량으로 유포중인 악성메일들에 대해 추적 및 분석중이며, TA505 조직이 또다시 대량 악성메일을 유포한 것으로 확신하고 있습니다.

금일 발견된 악성 메일은 특정중소기업을 사칭하며 '스캔파일'이라는 제목으로 유포되고 있습니다.

[그림 1] 대량으로 국내기업에 유포중인 악성메일

메일 본문에는 현재까지 발견된 메일들에서는 아무런 내용을 찾을 수 없었지만 송신자의 상세한 정보가 담긴 전자메일 서명을 넣어 메일 수신자로 하여금 의심을 덜도록 유도합니다. 

메일에는 MS word로 작성된 doc파일이 첨부되어 있으며,  doc파일은 '스캔_(랜덤숫자)'의 파일명을 가지고 있습니다. 

만약 메일 수신자가 이 첨부파일을 클릭하고 실행할 경우, '물품인수증'이라는 내용의 문서가 보이고 이 문서를 제대로 보려면 컨텐츠를 활성화해야 한다며, 사용자로 하여금 워드 매크로 기능을 활성화시키도록 유도합니다. 

[그림 2] 악성word문서를 열었을때 매크로 활성화를 유도하도록 물품인수증으로 위장

매크로 기능이 활성화되어 공격자가 숨겨둔 스크립트가 실행되면 Ammyy RAT 계열의 추가 악성코드가 C&C서버에서 암호화된 형태로 다운로드되어 설치되는 동시에 윈도센터를 위장하여 작업스케줄러에 자기자신을 등록합니다. 

[그림 3] 자기자신을 작업 스케쥴러로 등록하여 부팅시마다 자동실행되도록 함

이렇게 될 경우, 윈도 부팅시마다 악성코드가 자동실행되게 되며, 공격자가 감염된 PC를 원격으로 조작하여 기업 내부 시스템을 노린 Clop 랜섬웨어 등의 추가적인 공격을 수행할 가능성이 매우 높아집니다.

이번 악성 메일 공격은 여러가지 정황상 TA505 조직이 수행한 공격으로 ESRC에서는 확신하고 있으나, 첨부된 악성문서를 분석 중 독특한 부분을 하나 추가로 확인하였습니다. 

[그림 4] 지난해 발견된 GandCrab 랜섬웨어와 오늘 확인된 Ammyy RAT의 서명자 정보가 동일함

악성코드 분석

1) 스캔_0216.docx 분석

doc 파일에 내장되어있는 vbs 매크로 코드는 %temp% 경로 하위로 92.38.135.99/99.txt에서 Retract.dll 파일 다운로드 시도합니다.

이때, 다운로드되는 파일은 인코딩되어있으며 ‘xor 0xb4’ 디코딩하여 ‘rundll32.exe’를 매개로 실행합니다.

[그림 5] doc 파일에 내장되어있는 vbs 매크로 코드

2) Retract.dll 분석

Retract.dll은 다운로더 파일로써 ‘92.82.135.99’에서 최종 페이로드를 C:\temp\temp.tmp로 다운로드합니다. 

이 파일은 인코딩되어있어 이후 디코딩하여  "C:\\temp\\rundl32.exe"로 생성 및 실행됩니다.

[그림 6] Retract.dll 코드

3) rundl32.exe 분석

최종적으로 실행되는 ‘rundl32.exe’은 유출된 Ammyy Admin 소스코드를 이용하여 제작되었습니다.

[그림 7] 악성코드 디코딩 화면

4) 악성코드 공격 흐름

최종적인 악성코드 공격 흐름은, 악성 doc 파일의 매크로가 실행되면 1차 C2 주소에서 TXT 파일로 저장되어 있는 10진수 데이터를 가져오고, 16진수 데이터로 변환된 후 0xB4(180) 키로 XOR 변환되면 악성 dll(Retract.dll / ahref.dll) 다운로더가 생성됩니다.

그리고 이 악성 다운로더는 최종 페이로드인 rundl32.exe(Ammyy RAT)를 생성하여 원격제어 악성코드로써 명령줄 실행, 사용자 정보 수집, 권한 상승 등 기능을 수행합니다.

[그림 8] 악성코드 공격 흐름도

이번에 발견된 메일에 첨부된 악성코드 관련 파일에서 발견된 디지털서명정보가 기존 GandCrab 랜섬웨어 서명에도 동일하게 사용된 것임이 확인되었는데, 이 부분에 대해서는 ESRC에서 현재 추가적인 분석을 진행하고 있습니다. 

ESRC는 해당 악성코드에 대한 추가분석 외에도 변종 발생에 대한 모니터링을 진행중이며, 수집된 악성메일 첨부파일과 C&C정보를 공유해드리오니 대응에 참고하시면 좋겠습니다.

*IoC (Indicator of Compromise)

Hash

3ff8a2a42e97ea33b528ce7833982488

4eabd89b31928f74eabc34f6dbaeb983

ecbde83646169cff0950fd843442d4a9

a3d28ef505d61686f6c967b17301a46a

fb2c47ccad38bae4478333baeee8438e

cc22bbfe1e388dc88c4130eb6546ca1a

0c215bf1252385d416092e4a1d281682

78b4f9ac80debc012d2a80435e2d48b7

f956514a3daff602995011e8a8c15059

0da3b8b94580f1af7aa0a936b5a211f4

C&C

- hxxp://27.102.102[.]235/235.txt

- hxxp://27.102.102[.]235/235.msi

- hxxp://27.102.102[.]235/2.b

- hxxp://92.38.135[.]99/235. txt

- hxxp://92.38.135[.]99/235. msi

- hxxp://92.38.135[.]99/99.txt

- hxxp://92.38.135[.]99/99.msi

- hxxp://92.38.135[.]99/22.b

- 160.119.253[.]219

금일 발견된 악성 샘플과 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서도 확인하실 수 있습니다.

현재 알약에서는 해당 악성 파일에 대해 'Backdoor.RAT.FlawedAmmyy, Trojan.Downloader.XLS.gen, Trojan.Downloader.DOC.gen'으로 탐지 중에 있습니다.

※ 관련글 바로가기

▶ TA505 조직, 국내 항공사 전자항공권 사칭 해킹 메일 유포 주의 (2019.07.25)

▶ TA505 그룹, 송금증 내용을 위장한 악성 피싱메일 대량 유포 중! (2019. 06. 20)

▶ TA505 그룹, 거래내역서, 견적서, 영수증 등으로 사칭해 Ammyy RAT 유포 (2019. 06. 03)

▶ TA505 그룹, 국세청 홈택스 사칭해 악성 메일 대량 유포 중! (2019. 05. 30)

▶ TA505 그룹, 국세청 사칭해 악성 메일 대량 유포 중! (2019. 05. 28)

▶ TA505, 반출 신고서, 출근부 등을 위장한 새로운 악성 파일 유포중! (2019. 05. 21)

▶ TA505조직, 다양한 피싱 메일 형태로 악성 설치파일 유포 주의! (2019. 05. 16)

▶ TA505조직, 또다시 엑셀 문서로 위장한 악성 이메일 유포해 (2019. 05. 08)

▶ TA505 조직, 요청자료 엑셀문서처럼 위장해 한국에 악성 이메일 유포 중 (2019. 05. 02)

▶ 클롭(Clop) 랜섬웨어 유포 조직이 진행하는 기업 타깃 대량공격 주의! (2019. 04. 24)

▶ Trojan.Ransom.Clop 악성코드 분석 보고서 (2019. 03. 22)

▶ 유출된 소스코드 기반으로 제작된 악성코드 유포 주의 (2019. 02. 14)