안녕하세요
이스트시큐리티 시큐리티대응센터(ESRC) 입니다.
금일 수상한 이메일들이 대량으로 수신되어 사용자들의 주의가 필요합니다.
[그림1] 수상한 메일
해당 메일들의 본문은 모두 영문으로 연락을 하라는 내용과 함께 워드파일(.doc)이 첨부되어 있습니다.
첨부된 악성문서파일을 실행하게 되면, 아래와 같은 안내를 사용자에게 보여주어 공격자가 심어 놓은 매크로를 실행시키도록 유도합니다.
[그림2] 매크로 실행을 유도하는 DOC 파일
매크로는 쓰레기 코드와 함께 파워쉘을 실행하는 코드를 포함하고 있습니다.
[그림3] 악성 매크로가 포함된 워드 파일
파워쉘 실행 코드는 아래의 C&C서버 리스트 목록에 따라 순차적으로 접속하여 C&C서버에서 내려주는 파일을 감염된 로컬PC에 565.exe로 저장하고 실행합니다.
**파워쉘 코드에 의해 연결되는 C&C서버 목록
http://rcw-lb[.]com/ab9vk/aty0i/
http://blog[.]begumnazli[.]com/wp-content/9a6/
최종 다운로드 되는 페이로드는 Emotet 으로 추정되며 현재는 C&C에 연결이 되지 않아 다운로드 및 실행되지 않지만 만약 연결이 되면 추가 피해가 발행할 수 있기 때문에 사용자의 주의가 필요합니다.
현재 알약에서는 Trojan.Downloader.DOC.Gen로 탐지중에 있으며, 관련하여 더 자세한 정보는 ThreatInside에서 확인하실 수 있습니다.
기업 그룹메일을 타깃으로 하는 피싱메일 주의! (0) | 2019.11.26 |
---|---|
Trojan.Android.Banker 악성코드 분석 보고서 (0) | 2019.11.21 |
Nemty 랜섬웨어, 공문을 사칭한 악성 메일을 통해 지속적으로 유포중! (0) | 2019.11.13 |
금성121, 북한 이탈주민 후원 사칭 '드래곤 메신저' 모바일 APT 공격 수행 (0) | 2019.11.11 |
Sodinokibi랜섬웨어와 유사한 AnteFrigus 랜섬웨어 발견! (0) | 2019.11.07 |
댓글 영역