포스팅 내용

악성코드 분석 리포트

TA505조직, 악성 이메일을 활용해 한국 공격 재개



안녕하세요.


이스트시큐리티 시큐리티대응센터(ESRC)입니다.


금일(2019년 10월 17일) 오전부터 국내 기업들을 대상으로 악성 파일과 링크를 삽입한 스팸 메일이 대량으로 유포되고 있어 사용자들의 각별한 주의가 필요합니다. 


ESRC에서는 TA505 조직의 소행으로 추측하고 있으며, 스팸 메일에는 별다른 본문 내용 없이 xls 파일을 첨부하거나, Onedrive 링크를 삽입했습니다. 



[그림 1] 악성 xls 파일을 첨부한 스팸 메일



[그림 2] 악성 Onedrive 링크를 첨부한 스팸 메일



악성 엑셀 파일을 첨부한 메일의 경우, 위의 그림과 같이 특정 이름으로 유포되었으며, Onedrive 링크를 첨부한 메일의 발신 주소는 국내 중소기업 명을 사칭하였습니다.


해당 메일을 받은 사용자가 호기심에 첨부된 엑셀 파일을 다운로드하거나, Onedrive 링크를 클릭하면 악성 매크로가 포함된 엑셀 파일을 확인하실 수 있습니다.



[그림 3] 메일에 첨부된 악성 엑셀 파일



[그림 4] Onedrive 링크를 통해 다운로드된 악성 엑셀 파일



두 엑셀 파일 모두 매크로 사용을 요청하는 메시지를 띄웁니다. 만약 사용자가 매크로 사용을 허용하면 공격자는 피해자 PC의 컴퓨터 이름, 사용자 이름, 운영체제 정보 등을 수집할 수 있습니다.



* IoC

File Name

MD5 

S22C-6e358272612137.xls

D75F5DF374BFA61A41D7CF824D52B0AB

B001_101719.xls

C7D3ABB7CDE9E8DD22725D125677478B



현재 알약에서는 해당 악성코드에 대해 'Trojan.Downloader.X97M.Gen, Trojan.Downloader.XLS.gen'으로 탐지 중에 있습니다.



‘S22C-6e358272612137.xls’ 분석


엑셀 파일에서 매크로를 실행할 경우, 아래의 경로에 DLL 파일을 드롭 및 로드하는 기능이 수행됩니다.


- ‘C:\Users\[사용자 계정]\AppData\Roaming\Microsoft\Windows\Templates\libDxdiag1.dll’



[그림 5] 매크로에서 ‘libDxdiag1.dll’ 로드 코드



로드된 ‘libDxdiag1.dll’은 ‘https://windows-afx-update[.]com/f1611’에 연결하여 감염 PC 정보 전송 및 다운로더 기능을 수행합니다. 


정보 전송 목록에는 컴퓨터 이름, 사용자 이름, 운영체제 정보, 현재 실행 중인 프로세스 이름이 포함됩니다.



[그림 6] 감염 PC 정보 전송 화면



분석 시점에서 공격자의 C&C 연결이 이루어지지 않았지만, 만일 C&C에서 다운로드가 이루어진다면 2차 피해가 발생할 수 있어 사용자들의 각별한 주의가 필요합니다.



[그림 7] 다운로드된 파일 드롭 및 실행 코드



공격자는 파일 첨부 없이 링크로 악성 파일을 다운로드하는 방법도 사용했는데, 이는 메일 필터링 시스템을 쉽게 우회할 수 있었을 것입니다.


공격자는 최근 2019년 10월부터 위 파일에 사용된 다운로드 도메인을 포함한 유사한 도메인을 다수 등록했습니다.


이를 통해 공격자가 알려지지 않은 공격이나 추가 공격을 수행할 수 있어 유의해야 합니다.



DOMAIN NAME

CREATED

onedrive-sd[.]com

15 Oct 2019

windows-afx-update[.]com

15 Oct 2019

dropbox-en[.]com

14 Oct 2019

onedrive-download[.]com

14 Oct 2019

onedrive-download-en[.]com

14 Oct 2019

windows-en-us-update[.]com

14 Oct 2019

office365-eu-update[.]com

13 Oct 2019

onedrive-en[.]com

13 Oct 2019

office365-us-update[.]com

13 Oct 2019

windows-fsd-update[.]com

7 Oct 2019

dropbox-download[.]com

1 Oct 2019

windows-msd-update[.]com

1 Oct 2019

onedrive-cdn[.]com

1 Oct 2019

googledrive-en[.]com

1 Oct 2019

windows-cnd-update[.]com

1 Oct 2019

windows-update-02-en[.]com

2 Sep 2019

[표 1] 도메인 등록자의 등록 이력





  1. 캡틴마블링 2019.10.17 19:58 신고  수정/삭제  댓글쓰기

    좋은 정보감사합니다!!

티스토리 방명록 작성
name password homepage