기업담당자들을 대상으로 유포되고 있는 악성 PDF 파일 주의!

안녕하세요.

이스트시큐리티 ESRC(시큐리티대응센터)입니다. 

2/19 오후부터, 국내 주요 기업의 담당자를 대상으로 '결제 송장'으로 위장한 악성 이메일이 대량 유포되고 있어 기업 사용자들의 주의가 필요합니다. 

이메일 자체는 기존에 유포되던 송장으로 위장한 악성 이메일과 크게 다를 것이 없으나 MS office 문서파일 및 HWP 문서파일이 아닌 PDF 문서를 첨부한 것이 특징입니다.

[그림 1] 악성PDF파일이 첨부된 '결제 송장' 위장 이메일

해당 악성 이메일은 국내 특정 해운회사의 이메일주소를 사용하고 있으며, 메일 수신자의 이메일 주소 앞자리를 그대로 사용해서 메일 수신자를 호칭하며, 부자연스러운 인사말을 사용하고 있습니다. 

이 악성 PDF 파일 내에는 악성 매크로가 포함된 Excel 파일이 포함되어 있는데, 만약 사용자가 악성 PDF 문서를 실행할 경우 Adobe Reader에서는 다음과 같은 경고창을 띄웁니다. (최신 버전의 Adobe Reader에서는 동작하지 않습니다)

[그림 2] Adobe Reader에서 띄우는 경고창

만약 사용자가 '허용 안 함'을 클릭하면 더 이상의 악성 행위가 이루어 지지 않지만, 만약 '이 파일 열기'를 선택한 후 확인을 누르면 PDF 파일 내 포함되어 있던 악성 Excel 파일이 메모리 내에서 자동으로 실행됩니다. 

[그림 3] 악성 매크로가 포함된 엑셀 파일

[그림 4] 매크로 허용 후 엑셀화면

만약 사용자가 [매크로 포함]을 클릭한다면, Excel 파일에 포함되어 있던 난독화 된 매크로 스크립트가 실행되며, 공격자가 세팅해 둔 C&C 서버에 접속하여 %appdata% 경로 하위에 win32 파일명을 가진 악성 파일을 내려받고 실행합니다. 

[그림 5] 다운로드 된 악성 파일

이렇게 실행된 파일은 다시 공격자가 사전에 세팅해 둔 구글 드라이브에 접속하여 추가 파일을 다운받은 후 정상 프로세스에 인젝션 하고 악성 행위를 수행합니다.

[그림 6] 악성코드가 접속하는 구글 드라이브

최종적으로 실행되는 코드는 Formbook 악성코드로, 사용자 PC에서 스크린샷 화면, host 파일정보, 브라우저 정보(Internet Explorer, Firefox, opera, outlook, thunderbird) 등을 수집하여 C&C 서버로 전송합니다. 

[그림 7] 정보 탈취 코드

공격자는 '결제 송장' 사칭 외에도 'FedEX'를 사칭하거나 'Scan'이라는 파일명으로도 악성 PDF 파일을 활용하고 있으며 C&C 주소 차단을 방지하기 위해 구글 드라이브 주소를 통해 페이로드를 내려받고 있어 사용자들의 각별한 주의가 필요합니다. 

사용자 여러분은 출처가 불분명한 사용자에게서 온 메일인 경우 메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다.

알약에서는 해당 악성코드에 대해 Spyware.Noon.gen / Exploit.PDF.Agent로 탐지중에 있습니다.