상세 컨텐츠

본문 제목

공정거래위원회를 사칭한 악성 메일 주의! 비너스락커 조직의 소행으로 추정

악성코드 분석 리포트

by 알약(Alyac) 2020. 1. 3. 08:23

본문


안녕하세요 

이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 


공정거래위원회를 사칭하여 유포중인 피싱 메일에 대해 주의가 필요합니다. 


현재 유포중인 메일은 '전자상거래 위반행위 조사통지서'라는 제목을 갖고있으며, 공정거래 위원회가 발송한것처럼 위장하고 있습니다. 


해당 메일은 1월 1일 오전에 발송되었으며, 사무관, 과장 등의 직함을 사용하여 실제 공무원인것처럼 사칭하였습니다. 



[그림1] 공정거래위원회를 사칭한 악성 메일


공정거래위원회를 사칭한 악성 메일은 새로운 것은 아닙니다. 


2018년부터 등장한 공정거래위원회 사칭 악성메일은 2019년도에도 꾸준히 등장하였음, 이스트시큐리티 블로그에서도 '공정거래위원회 사칭 메일'에 대해 꾸준히 다뤄왔습니다. 



기존에 유포되었던 악성메일과 비교해보았을 때, 기존의 유포되던 이메일 형태와 거의 유사합니다. 


이메일에 포함된 가짜 공문의 내용은 기존에 유포되었던 것들과 비교하였을 때 날짜와 일부 담당자 이름이 들어가는 부분들을 제외하고는 모두 동일합니다. 


[그림2] 기존 악성메일 첨부파일


[그림3] 이번 악성메일 첨부파일


하지만 기존에 이중확장자를 사용해서 .exe 파일을 다른 문서파일로 보이게 첨부하였던것과 달리, 이번에는 그냥 .exe 형태로 첨부하였습니다. 


첨부 파일에는 동일한 파일 명으로 두개의 파일이 포함되어 있는데, 용량을 보면 두 파일이 다른파일이라는 것을 알 수 있습니다. 


[그림4] 악성 첨부파일 목록 및 크기


악성프로세스 상세 분석


전산 및 비전산자료 보존 요청서(20191230))요청자료 꼭 준비부탁드립니다.exe (570KB)


1. 중복 실행 방지


중복 실행을 방지하기 위해 Mutex를 사용합니다. 뮤텍스의 이름은 사용자의 하드웨어 ID 와 Machine ID 로 생성됩니다.

 

[그림 5] 중복 실행 확인


2. 정상 모듈 DLL 다운로드


파이어 폭스의 계정 정보 탈취와 추후 C/C++로 작성된 악성코드를 실행시키기 위해 정상 모듈을 http://likeanimals[.]net 에 접속하여 사용자 시스템의 C:\ProgramData\ 아래 경로에 다운로드 됩니다. 다운로드 되는 DLL은 총6개로 아래와 같으며 사용이 끝나면 모두 삭제됩니다.


다운로드 되는 모듈 이름 : freebl3.dll, mozglue.dll, msvcp140.dll, nss3.dll, softokn3.dll, vcruntime140.dll

[그림 6] 사용완료 후 삭제 코드


3. 사용자 정보 탈취


C:\ProgramData\[임의의 숫자 문자 25]\files 라는 폴더를 생성한 후 브라우저 계정 정보(크롬, 파이어 폭스, 오페라, IE 등) 및 히스토리 와 사용자 시스템의 정보, 가상화폐 지갑 정보 관련 디렉토리를 생성합니다. 


 

[그림 7] 시스템 정보 수집 코드


 [그림 8] 디렉토리 생성 코드


 

[그림 9] 생성된 디렉토리 화면


또한 생성되는 가상화폐 관련 디렉토리 목록은 총 7개로 아래와 같습니다. 


 

[그림 10] 생성된 가상화폐 지갑 디렉토리


수집된 정보는 Mutex 이름으로 사용한 동일한 이름으로 zip 파일을 생성하고 http://likeanimals[.]net으로 전송 한 후 zip 파일을 바로 삭제합니다.


[그림 11] zip 으로 묶여서 전송되는 정보들


[그림 12] 전송 화면  (hwid, os, platform 등 모자이크 처리 부탁)


마지막으로 해당 코드는 파일을 다운로드 받은 뒤 실행하는데 다운로드 된 FMO7GKPWCY.exe 으로 현재는 다운로드 되지 않기 때문에 확인이 어렵습니다. 

 

[그림 13] 파일 다운로드 후 실행 코드


● 전산 및 비전산자료 보존 요청서(20191230))요청자료 꼭 준비부탁드립니다.exe (277KB)


해당 파일을 실행하면 Nemty 랜섬웨어 2.5 버전이 실행됩니다. 


[그림14] Nemty 2.5 랜섬노트


현재 알약에서는 해당 악성코드에 대해 Trojan.Ransom.Nemty, Trojan.Agent.Bomitag로 탐지중에 있으며, 관련 IoC 정보는 ThreatInside에서 확인하실 수 있습니다. 

 





관련글 더보기

댓글 영역