경찰청을 사칭하여 유포중인 악성 이메일 주의!

안녕하세요. 이스트시큐리티 ESRC(시큐리티대응센터)입니다.

최근 경찰청을 사칭한 악성 메일이 발견되어 사용자들의 주의가 필요합니다. 

[그림 1] 경찰청 사칭 악성 메일

이번에 발견된 메일은 경찰청 초대라는 제목으로 유포되었으며, 어색한 한국어를 구사하고 있습니다. 

이메일 하단에 현 경찰청장 이름인 민갑룡 영문이름을 추가하여 사용자들의 신뢰를 얻으려 시도하였습니다. 

해당 메일에는 문서.iso 파일이 첨부되어 있습니다. 

첨부되어있는 문서.iso 파일 안에는 문서.exe 파일이 포함되어 있습니다. 

[그림 2] 악성 메일에 포함된 첨부파일

문서.exe 파일 분석

최초 첨부 파일인 ‘문서.exe’은 닷넷 파일으로 자기 자신을 자식 프로세스로 실행한 뒤, ‘Remcos’ 페이로드를 인젝션하는 기능을 수행합니다. 아래는 프로세스 인젝션 코드의 일부입니다.

[그림 3] 인젝션 코드

Remcos 악성코드는 명령제어 악성코드로, C&C 통신 이후 공격자 명령에 따라 다음과 같은 기능을 수행합니다. 

키로깅

파일 통제(삭제/다운로드/업로드)

프로세스 통제

레지스트리 통제

‘cmd.exe’ 실행 및 결과 업로드

음성 녹음

화면 녹화

브라우저 정보 탈취

시스템 종료 및 재시작

다음은 파일 다운로드 및 업로드 코드로, 해당 명령에 따라 각각 감염 PC에 추가적으로 악성코드 다운로드 및 드롭과 정보 탈취가 이루어 질 수 있습니다. 

[그림 4] 파일 다운로드 코드

[그림 5] 파일 업로드 코드

현재 알약에서는 해당 악성코드에 대해 Backdoor.Remcos.A로 탐지중에 있으며, 관련 IoC는 Threat Inside에서 확인하실 수 있습니다.