안녕하세요.
이스트시큐리티 시큐리티대응센터(ESRC)입니다.
5/25 OLE 내부에 PE가 포함된 형태의 악성문서가 첨부된 메일이 발견되었습니다.
"Scan Copy_PO#~~"라는 제목의 이 악성 메일에는 공격자에 의해 조작된 Word 문서가 포함되어 있으며, 메일 본문은 어색한 한국어로 작성되어 있습니다.
ESRC에서는 해당 피싱 메일에 첨부된 악성 파일 (SCAN+COPY.doc/Scan+Copy.docx.exe)에 대해 분석해 보았습니다.
유포 중인 악성 이메일은 첨부된 사진 스캔 사본을 확인하라는 내용을 담고 있습니다.
[그림 1] 악성 메일 본문
첨부된 doc 문서를 확인하면 아래와 같이 ‘보안 파일을 보려면 누르십시오’라는 안내를 보여주며 사용자의 클릭을 유도합니다.
[그림 2] 사용자의 클릭을 유도하는 DOC 문서 화면
사용자가 안내를 따라 클릭을 하면 ‘Scan+Copy.docx.exe’라는 악성코드가 실행됩니다.
[그림 3] 악성코드 실행 화면
실행 파일은 난독화되어 있으며 디코딩 결과 원격 제어 프로그램인 ‘NanoCore’인 것으로 확인되었습니다.
[그림 4] NanoCore 디코딩 코드
이 악성코드는 %temp% 경로 하위 win32.exe 파일명으로 자가복제하여 정상 파일로 위장하며 부팅 시에도 자동 실행되도록 레지스트리에 등록합니다.
주 악성 행위로 C&C 서버와 통신하여 키로깅, 원격제어 등의 해킹이 가능한 백도어 기능을 수행하게 되며 감염된 시스템으로부터 데이터를 수집하게 됩니다.
[그림 5] 키로깅 데이터
수집된 데이터는 사전에 공격자가 세팅해둔 C&C로 전송됩니다.
따라서 출처가 불분명한 메일을 확인할 경우에는 미리보기 기능을 활용하고, 메일 열람에 각별한 주의를 기울여야 합니다.
현재 알약에서는 해당 악성 샘플에 대해 "Trojan.Downloader.DOC.Gen, Trojan.Agent.Wacatac, Backdoor.RAT.MSIL.NanoCore"으로 탐지 중입니다.
핵 이슈를 다루는 학술 연구재단을 사칭한 Konni 조직의 새로운 APT 공격 (0) | 2020.05.27 |
---|---|
비너스락커 조직, Makop 랜섬웨어+ 정보탈취 악성코드 대량 유포 중! (0) | 2020.05.25 |
스캔한 문서 이미지 클릭 시 계정 탈취 로그인 페이지로 이동되는 피싱 공격 주의!! (0) | 2020.05.19 |
비너스락커 조직, 이력서 위장한 Nemty 랜섬웨어 + 정보탈취 악성코드 유포 지속 주의 (0) | 2020.05.19 |
Trojan.Android.SmsSpy 악성코드 분석 보고서 (0) | 2020.05.19 |
댓글 영역