상세 컨텐츠

본문 제목

신종 코로나 바이러스 이슈를 악용하는 악성 이메일 국내 유입

악성코드 분석 리포트

by 알약(Alyac) 2020. 2. 7. 15:24

본문




안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다.


최근 신종 코로나 바이러스 이슈를 악용한 각종 피싱 이메일이 전세계적으로 유포되고 있는 가운데, 2020년 02월 06일 국내에도 새로운 해킹 이메일이 유입되었습니다.


먼저 해외 사례로 지난 2월 3일 미국, 영국, 일본 등에서 신종 코로나 바이러스 관련 피싱 공격이 발견된 바 있었습니다.


이들은 주로 CDC(Centers for Disease Control and prevention) 혹은 바이러스 연구학자를 사칭하여, 피싱 이메일 대상 지역의 새로운 감염 사례에 대해 경고하고 '안전조치'를 제공하는 형태로 첨부파일 혹은 링크 등을 열어보도록 사용자들을 현혹하였습니다.





2020년 02월 06일 한국의 특정 기업에 유입된 악성 해킹 이메일도 마찬가지 형태입니다. 


이 해킹 이메일은 영문으로 작성되어 있고, 이메일 제목이 'Coronavirus Update: China Operations'라고 되어 있어, 마치 코로나 바이러스에 대한 이메일 수신자들의 관심과 염려를 악용하고 있습니다. 


실제 유포된 이메일 영문(좌측) 내용과 번역한 한글(우측)은 다음과 같습니다.

 


We would like to take a moment and ensure that our clients, partners, etc. are updated regarding the status of our operations in China. 


Unfortunately, the New Year has been dominated by the 2019-nCoV (Coronavirus) outbreak. As of today, the number of confirmed cases has reached over 17,000, with over 300 deaths reported. We are monitoring the Johns Hopkins CSSE website that provides real-time data related to confirmed cases.


Wuhan (Hubei Province) is identified as the center of the outbreak and will remain under quarantine as the government continues with containment efforts. An increasing number of countries are now restricting visitors from this area, or China in general. Currently, more than 25 countries have confirmed cases.


Many companies, including manufacturers, in China are being asked to remain closed after the Lunar New Year holiday, through February 9th. We are among the organizations that will remain closed during this time and as advised. Please find attached our rescheduled resumption date including ways to contact our other factories outside China.


Taking remains proactive throughout the escalation of this virus. Two thousand masks from the U.S. were shipped to offices in China. Team chats are now in place to allow employees to check in and receive ongoing updates. We are grateful there are no cases of the Coronavirus affecting Pro QC employees at this time. Attached is also the approved ways by the WHO to avoid the virus.


We are asking our teams in the region to avoid crowded places as much as possible. And, we will continue to provide regular updates. We will work with the teams in China to continue managing operations from home starting February 3rd. 


Please do not hesitate to contact your account manager or info@(생략).com for answers to questions, feedback, etc.


(생략) INDUSTRIAL CO., LTD.

2F., (생략), CHENG DE ROAD

(생략) TAIPEI, TAIWAN

Tel: 886-2-(생략)

Fax: 886-2-(생략)

E-mail:export@(생략).com.tw


 자사의 고객 및 파트너 기업들을 대상으로 중국 내 바이러스 현황과 관련해 새로운 소식을 전하고자 합니다.


연초부터 코로나 바이러스 (2019-nCoV)로 인해 매우 혼란스러운 상황입니다. 현재까지 1만 7천 건이 넘는 감염자 및 300명이 넘는 사망자가 확인되고 있으며, 확진 관련 실시간 정보를 제공하는 Johns Hopkins CSSE 웹사이트를 지속적으로 모니터링하고 있습니다. 


우한 (후베이 성)은 코로나 바이러스 발발의 중심지로 파악되며, 중국 정부의 지속적인 격리 노력으로 격리 상태가 유지될 것입니다. 점점 더 많은 국가에서 우한 지역 또는 중국의 방문객을 제한하고 있으며, 현재까지 25개국 이상이 방문 제한 국가로 확인되었습니다.


중국 내 제조 업체를 포함한 많은 기업들이 설 연휴 이후 2월 9일까지 폐쇄 권고 조치를 받았으며, 자사 또한 이러한 기업 중 하나입니다. 중국 외 지역의 공장에 연락하는 방법을 포함해 운영 재개 일정을 파일로 첨부하였습니다.


코로나 바이러스가 유포되는 동안 계속적인 주의를 기울일 것을 당부드립니다. 2천 여개의 마스크가 미국에서 중국으로 전달되었으며, 저희 직원들은 이와 관련해 새로운 소식을 업데이트할 수 있도록 지속적인 커뮤니케이션을 유지할 것입니다. 바이러스로 인한 피해 사례가 아직 발생하지 않은 것에 대해 매우 감사드리며, WHO 승인을 받은 바이러스 감염 예방 조치 또한 첨부하였으니 확인하시기 바랍니다. 


직원들에게 사람이 많이 붐비는 장소 방문은 가급적 자제할 것을 권고하고 있으며, 관련 소식을 주기적으로 업데이트할 예정입니다. 중국 내 팀과 협력하여 2월 3일부터 재택 근무를 진행하도록 하겠습니다. 


질문, 피드백 등에 대한 답변은 계정 관리자 또는 info@(생략).com를 통해 문의하시기 바랍니다.


(생략) 산업 주식 회사

2층, (생략), CHENG DE ROAD

(생략) 대만 타이페이

전화: 886-2-(생략)

팩스: 886-2-(생략)

이메일: export@(생략).com.tw



[그림 1] 코로나바이러스 사칭 피싱 메일 



이메일 본문 내용은 특정 대만 회사가 현재 신종 코로나 바이러스와 관련된 중국 내 상황을 간략히 언급하고, 해당 회사가 이러한 상황을 맞이하여 어떻게 대응하고 있는지 그리고, 중국 이외의 다른 나라의 공장에 연락하는 방법을 포함하여 생산일정이 재개되는 일정은 첨부파일을 확인하라는 형태로 사용자로 하여금 첨부파일을 열도록 유도합니다.


따라서 이메일 수신자가 추가적으로 궁금한 내용에 대해 확인을 위해 첨부파일을 열어보게 되면, 악성코드에 감염되는 과정을 거치게 됩니다.


첨부되어 있는 압축파일 'Factory Contacts and Office Resumption.zip' 내부에는 'Factory Contacts and Office Resumption.pif' 악성 실행파일이 포함되어 있습니다.


다음은 'Factory Contacts and Office Resumption.pif' 악성 파일에 대한 간략한 분석 내용입니다.


'Factory Contacts and Office Resumption.pif' 파일은 정상 프로세스 ‘Regasm.exe’에 Nanocore 페이로드를 다운로드하는 코드를 인젝션시키고 이를 실행합니다.



[그림 2] 다운로드 기능의 코드



인젝션되어 실행되는 Regasm.exe는 구글 드라이브에서 인코딩된 페이로드를 다운로드 및 디코딩해서 실행합니다. 아래는 구글 드라이브 URL입니다.



Download URL : https://drive.google[.]com/uc?export=download&id=1DhEiDsTQ-TAan2P5p0H1oe0X5uOuGV1k



[그림 3] 구글 드라이브 업로더 정보



최종적으로 ‘Regasm.exe’에서 실행되는 페이로드는 닷넷으로 제작된 Nanocore로 C&C 서버와 통신하여 키로깅, 원격제어 등의 해킹이 가능한 백도어 기능을 수행하게 됩니다. 


아래 화면은 로컬 PC에 저장되는 키로깅 데이터입니다. C:\Users\[사용자 계정]\AppData\Roaming\ F1EFF6A8-B2D5-442A-974C-7B7D1F4E11E6\Logs\[사용자 계정] 경로의 안에는 ‘KB_[임의의 숫자 7자리].dat’ 파일에 키로깅 데이터가 저장됩니다.



[그림 4] 키로깅 데이터



아직까지는(2/7 오전 현재) 한글로 작성된 신종 코로나 바이러스 이슈와 관련된 악성 이메일은 확인되지 않고 있습니다. 


그러나, 이미 해외에서 여러 차례 신종 코로나 바이러스 이슈를 활용한 악성 이메일의 유포가 확인된 만큼 한글로 작성된 한국 타깃 공격은 언제라도 발생할 수 있기 때문에 사용자 여러분들은 출처가 불분명한 신종 코로나 바이러스 관련 이메일 수신 시 열람에 각별한 주의를 기울여야 합니다.


알약에서는 해당 악성코드에 대해 Backdoor.RAT.MSIL.NanoCore로 대응 중에 있으며, ESRC는 코로나 바이러스를 사칭하는 피싱 캠페인 및 악성 이메일 유포에 대한 집중 모니터링을 진행하고 있습니다.


[추가 업데이트]


2020년 02월 08일에는 실제 확인되지 않은 허위정보를 커뮤니티나 단체 대화방을 통해 무작위로 전파하도록 유도하는 혹스(Hoax)가 다수 확인되고 있습니다. 이 내용은 아직 존재하지 않은 보안위협 내용을 기반으로 불안감을 조성하는 형태입니다.


이러한 정보에 현혹되지 않도록 각별한 주의가 필요하며, 재생산되지 않도록 하는 노력도 중요합니다.



"한국 코로나바이러스  첫사망자 발생"이라는 제목의 동영상이 오면 절대로 열어보지 마시고 바로 지워 버리십시요.

동영상이 아니고 스팸 바이러스인데 핸드폰에 있는 송금기능 등 은행 업무의 정보를 빼갑니다. 방금 신문에도 보도가 되었다고 합니다.

다른 그룹방에도 전달하셔서 피해가 없도록 해주세요.






관련글 더보기

댓글 영역