상세 컨텐츠

본문 제목

구글 문서를 사용해 이메일 게이트웨이를 우회하는 악성 메일 캠페인 발견

국내외 보안동향

by 알약(Alyac) 2019. 9. 2. 10:33

본문

Malspam campaign bypasses secure email gateway using Google Docs


공격자들이 구글 문서(Google Docs)를 사용해 PDF로 위장한 TrickBot 뱅킹 트로이목마를 피해자들에게 배포하고 있는 것으로 나타났습니다.


TrickBot은 2016년 10월부터 활동해온 유명한 뱅킹 트로이목마로 제작자는 새로운 기능을 추가하며 지속적으로 업그레이드하고 있습니다. 


TrickBot은 초기에는 뱅킹 트로이목마 기능만을 포함하고 있었습니다. 하지만 수년에 걸쳐 제작자는 데이터 탈취, 페이로드 드롭 등 새로운 기능을 추가했습니다.


최근 Secureworks의 CTU(Counter Threat Unit) 연구원들은 미국 모바일 사용자들을 노린 공격에서 새로운 동적 웹 인젝션을 포함하는 새로운 TrickBot 버전을 발견했습니다.


이 공격은 Google Docs 링크에 내장된 TrickBot을 배포하는 피싱 캠페인이며, 이메일에는 사용자들이 아래의 문구에 삽입된 링크를 클릭하도록 유도했습니다.


이메일에 삽입된 링크 내용 및 주소:

"최근 보낸 문서를 확인하셨나요? 다시 보내 드립니다."

"Have you already received documentation I’ve directed you recently? I am sending them over again.” 


- hxxps://docs[.]google[.]com/uc?id=112QLCdDtd4y-mAzr8hobCs0TP5mQmKfL


피싱에 사용된 메일은 사용자가 공유하고 싶은 파일을 구독자들 중 한 명에게 공유하였을 때, Google Docs가 합법적으로 생성하는 이메일입니다. 


하지만 해당 메일을 받은 수신자는 자신도 모르는 사이에 구글에서 호스팅 되는 악성 URL이 포함된 문서로 이동할 수 있습니다.


공격자는 이를 통해 Proofpoint 시큐어 이메일 게이트웨이를 우회할 수 있었습니다.


피해자에게 공유된 스팸 메시지에는 "문서에서 열기(Open in Docs)" 버튼이 포함되어 있었습니다.


타깃 피해자가 해당 버튼을 클릭할 경우, 가짜 404 에러 페이지와 함께 문서를 수동으로 다운로드하는 방법이 표시된 Google Docs 랜딩 페이지로 이동됩니다.




<이미지 출처: https://cofense.com/trickbot-using-google-docs-trick-proofpoints-gateway/>



이를 통해 피해자는 PDF 문서로 위장한 악성 페이로드를(.pdf.exe) 다운로드합니다. 기본 윈도우 설정에서는 알려진 파일 유형을 숨기기 때문에 가능한 시나리오입니다.


악성 페이로드가 실행되면 여러 폴더에 자기 자신(egолаСывЯыФЙ)을 복사하고, 지속성을 얻기 위해 예약된 작업을 추가합니다. 


이 작업은 414일 동안 시스템 시작 시, 11분마다 복사본 중 하나를 실행합니다. 또한 이 뱅킹 트로이목마는 자기 자신을 프로세스에 주입하기도 합니다.


이후 Svchost에 악성코드를 주입하고 실행하는데, 이로써 더 많은 Svchost가 지속적으로 실행됩니다. 이들 각각은 Trickbot의 모듈 역할을 담당합니다.


현재 알약에서는 해당 악성코드에 대해 Trojan.Trickster.Gen으로 탐지 중에 있습니다.





출처:

https://securityaffairs.co/wordpress/90642/hacking/malspam-campaign-google-docs.html

https://cofense.com/trickbot-using-google-docs-trick-proofpoints-gateway/

관련글 더보기

댓글 영역