TA505조직, 악성 이메일을 활용해 한국 공격 재개

안녕하세요.

이스트시큐리티 시큐리티대응센터(ESRC)입니다.

금일(2019년 10월 17일) 오전부터 국내 기업들을 대상으로 악성 파일과 링크를 삽입한 스팸 메일이 대량으로 유포되고 있어 사용자들의 각별한 주의가 필요합니다. 

ESRC에서는 TA505 조직의 소행으로 추측하고 있으며, 스팸 메일에는 별다른 본문 내용 없이 xls 파일을 첨부하거나, Onedrive 링크를 삽입했습니다. 

[그림 1] 악성 xls 파일을 첨부한 스팸 메일

[그림 2] 악성 Onedrive 링크를 첨부한 스팸 메일

악성 엑셀 파일을 첨부한 메일의 경우, 위의 그림과 같이 특정 이름으로 유포되었으며, Onedrive 링크를 첨부한 메일의 발신 주소는 국내 중소기업 명을 사칭하였습니다.

해당 메일을 받은 사용자가 호기심에 첨부된 엑셀 파일을 다운로드하거나, Onedrive 링크를 클릭하면 악성 매크로가 포함된 엑셀 파일을 확인하실 수 있습니다.

[그림 3] 메일에 첨부된 악성 엑셀 파일

[그림 4] Onedrive 링크를 통해 다운로드된 악성 엑셀 파일

두 엑셀 파일 모두 매크로 사용을 요청하는 메시지를 띄웁니다. 만약 사용자가 매크로 사용을 허용하면 공격자는 피해자 PC의 컴퓨터 이름, 사용자 이름, 운영체제 정보 등을 수집할 수 있습니다.

* IoC

File Name	MD5
S22C-6e358272612137.xls	D75F5DF374BFA61A41D7CF824D52B0AB
B001_101719.xls	C7D3ABB7CDE9E8DD22725D125677478B

현재 알약에서는 해당 악성코드에 대해 'Trojan.Downloader.X97M.Gen, Trojan.Downloader.XLS.gen'으로 탐지 중에 있습니다.

‘S22C-6e358272612137.xls’ 분석

엑셀 파일에서 매크로를 실행할 경우, 아래의 경로에 DLL 파일을 드롭 및 로드하는 기능이 수행됩니다.

- ‘C:\Users\[사용자 계정]\AppData\Roaming\Microsoft\Windows\Templates\libDxdiag1.dll’

[그림 5] 매크로에서 ‘libDxdiag1.dll’ 로드 코드

로드된 ‘libDxdiag1.dll’은 ‘https://windows-afx-update[.]com/f1611’에 연결하여 감염 PC 정보 전송 및 다운로더 기능을 수행합니다. 

정보 전송 목록에는 컴퓨터 이름, 사용자 이름, 운영체제 정보, 현재 실행 중인 프로세스 이름이 포함됩니다.

[그림 6] 감염 PC 정보 전송 화면

분석 시점에서 공격자의 C&C 연결이 이루어지지 않았지만, 만일 C&C에서 다운로드가 이루어진다면 2차 피해가 발생할 수 있어 사용자들의 각별한 주의가 필요합니다.

[그림 7] 다운로드된 파일 드롭 및 실행 코드

공격자는 파일 첨부 없이 링크로 악성 파일을 다운로드하는 방법도 사용했는데, 이는 메일 필터링 시스템을 쉽게 우회할 수 있었을 것입니다.

공격자는 최근 2019년 10월부터 위 파일에 사용된 다운로드 도메인을 포함한 유사한 도메인을 다수 등록했습니다.

이를 통해 공격자가 알려지지 않은 공격이나 추가 공격을 수행할 수 있어 유의해야 합니다.

DOMAIN NAME	CREATED
onedrive-sd[.]com	15 Oct 2019
windows-afx-update[.]com	15 Oct 2019
dropbox-en[.]com	14 Oct 2019
onedrive-download[.]com	14 Oct 2019
onedrive-download-en[.]com	14 Oct 2019
windows-en-us-update[.]com	14 Oct 2019
office365-eu-update[.]com	13 Oct 2019
onedrive-en[.]com	13 Oct 2019
office365-us-update[.]com	13 Oct 2019
windows-fsd-update[.]com	7 Oct 2019
dropbox-download[.]com	1 Oct 2019
windows-msd-update[.]com	1 Oct 2019
onedrive-cdn[.]com	1 Oct 2019
googledrive-en[.]com	1 Oct 2019
windows-cnd-update[.]com	1 Oct 2019
windows-update-02-en[.]com	2 Sep 2019

[표 1] 도메인 등록자의 등록 이력

※ 관련글 바로가기

▶ TA505조직, 스캔파일로 위장한 악성메일 대량 유포중! (2019.08.09)

▶ TA505 조직, 국내 항공사 전자항공권 사칭 해킹 메일 유포 주의 (2019.07.25)

▶ TA505 그룹, 송금증 내용을 위장한 악성 피싱메일 대량 유포 중! (2019. 06. 20)

▶ TA505 그룹, 거래내역서, 견적서, 영수증 등으로 사칭해 Ammyy RAT 유포 (2019.06.03)

▶ TA505 그룹, 국세청 홈택스 사칭해 악성 메일 대량 유포 중! (2019.05.30)

▶ TA505 그룹, 국세청 사칭해 악성 메일 대량 유포 중! (2019.05.28)

▶ TA505, 반출 신고서, 출근부 등을 위장한 새로운 악성 파일 유포중! (2019.05.21)

▶ TA505조직, 다양한 피싱 메일 형태로 악성 설치파일 유포 주의! (2019.05.16)

▶ TA505조직, 또다시 엑셀 문서로 위장한 악성 이메일 유포해 (2019.05.08)

▶ TA505 조직, 요청자료 엑셀문서처럼 위장해 한국에 악성 이메일 유포 중 (2019.05.02)

▶ 클롭(Clop) 랜섬웨어 유포 조직이 진행하는 기업 타깃 대량공격 주의! (2019.04.24)

▶ Trojan.Ransom.Clop 악성코드 분석 보고서 (2019.03.22)

▶ 유출된 소스코드 기반으로 제작된 악성코드 유포 주의 (2019.02.14)