포스팅 내용

악성코드 분석 리포트

특정 기관을 사칭해 견적서를 요청하고 데이터를 탈취하는 스피어 피싱 메일 주의!


안녕하세요?


이스트시큐리티 시큐리티대응센터(ESRC)입니다.


금일(2019/09/03) 특정 기관을 사칭한 견적서 요청 스피어 피싱 메일이 유포된 정황이 확인되었습니다.


공격자는 구매팀을 사칭해 견적을 위한 도면을 확인해 달라며, 견적에 필요한 파일인 것처럼 메일에 악성 대용량 파일을 첨부했습니다.



[그림 1] 견적 요청을 사칭한 악성 메일 화면



실제 공격에 사용된 이메일에는 국내 특정 기업 이미지와 직원의 서명을 추가해 담당자를 현혹하고 있습니다.


비슷한 내용과 동일한 악성 대용량 파일을 첨부한 메일이지만 엉뚱한 회사의 직원 서명을 사용한 악성 메일도 발견되었습니다.



[그림 2] 견적 요청을 사칭한 악성 메일 화면2



발견된 악성 메일 모두 동일한 이미지 파일(.img) 및 ACE 파일(.ace)을 대용량 파일로 첨부돼 있었으며, 해당 첨부파일을 압축 해제하면 아래와 같이 악성 실행 파일을 확인하실 수 있습니다.



[그림 3] 메일에 첨부된 대용량 파일 및 악성 실행 파일



해당 악성 파일을 메일의 내용처럼 견적을 위한 도면 파일 또는 견적에 필요한 파일로 착각해 실행하면, LokiBot이 실행되며, 사용자 PC의 정보를 탈취합니다.


탈취하는 정보는 브라우저를 통한 계정 정보, 시스템 정보, 이메일 서버 계정 등이 있습니다.


이와 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서도 확인하실 수 있습니다.


현재 알약에서는 해당 악성코드에 대해 'Spyware.LokiBot'으로 탐지 중에 있습니다.





티스토리 방명록 작성
name password homepage