상세 컨텐츠

본문 제목

전자세금계산서가 도착했습니다. ‘국세청 사칭’ 악성 이메일 유포 중!

악성코드 분석 리포트

by 알약4 2020. 11. 25. 14:46

본문



안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다.


‘국세청 전자세금계산서 발급 메일 안내’로 위장한 악성 이메일이 국내 불특정 다수를 대상으로 국내에 급속히 유포되고 있어 이용자들의 주의가 필요합니다.  



[그림 1] 국세청 홈택스 전자세금계산서 발급 안내로 사칭한 이메일 화면



발견된 공격은 메일 수신자가 관심을 가질만한 내용의 이메일을 발송해, 첨부된 악성 파일을 열어보도록 유도하는 전형적인 ‘스피어 피싱’ 방식입니다. 


다만 기존 이메일 스피어 피싱 공격에는 압축파일이나 마이크로소프트(MS)의 워드(WORD) 문서 형태의 악성 파일을 흔히 사용했으나, 이번 공격은 파워포인트 문서인 PPT 파일을 사용하였습니다.  


또한 메일 수신자가 신뢰하고 첨부파일을 열어보도록, 발신지 주소까지 실제 홈택스 도메인(hometaxadmin@hometax.go.kr)처럼 정교하게 조작했습니다. 



[그림 2] 악성 PPT 파일 열었을 때 나타나는 ‘보안알림’



메일 수신자가 정상적인 세금계산서로 오인해 이메일에 첨부된 PPT 파일을 열어보면, 파워포인트 프로그램이 실행되는 동시에 ‘보안알림’이 나타납니다. 보안알림에는 콘텐츠의 출처를 신뢰할 수 없다며, 출처를 신뢰할 경우 ‘매크로 포함’ 버튼을 누르도록 안내하는 내용이 담겨 있습니다.


만약 이 버튼을 클릭할 경우 파워포인트 화면에 아무런 내용이 나타나지 않지만 실제로는 공격자가 사전에 설정해둔 악성 명령을 실행할 준비가 완료됩니다. 이후 빈 화면을 확인하고 파워포인트 프로그램을 종료하는 시점에 사용자가 알아챌 수 없게 특정 서버로 접속을 시도합니다. 



[그림 3] NTS_eTaxInvoice.ppt 실행 화면



이 서버에 접속할 경우 매크로에서 mshta로 ‘hxxp://j[.]mp/aksjcoijcoidods’를 실행하고 최종적으로 hxxps://myrilullimotithi.blogspot[.]com/p/3a4.html 로 연결합니다.



[그림 4] 연결된 페이지 화면



연결된 페이지의 내부 코드를 확인하면 악성 스크립트가 삽입되어 있고 내용은 다음과 같습니다. 



[그림 5] 연결된 페이지의 악성 스크립트 화면



해당 스크립트를 통해 악성 데이터가 레지스트리에 등록되고 powershell.exe를 윈도우 정상 파일인 calc.exe 파일을 인젝션되어 악성 파일이 동작합니다. 



[그림 6] 연결된 페이지의 악성 스크립트 화면



최종적으로 실행되는 악성코드는 Lokibot으로 사용자 PC 정보와 함께 웹 브라우저, FTP 프로그램 등에 저장해 놓은 계정 비밀번호를 수집하고 탈취합니다. 수집된 정보들은 공격자의 C2 서버(hxxp://drdoganaykurkcu[.]com/spider/Panel/fre.php - 176.53.21[.]30)로 전송됩니다. 


전문가들은 “기업의 월말 결산 시기에 세금계산서 발행이 많은 점을 노리고, 이 같은 스피어 피싱 이메일 공격이 나타난 것으로 보인다”며, “이메일 스피어피싱 공격이 갈수록 진화되고 있고 시의성에 맞춘 사회공학적 기법을 사용하고 있기 때문에, 이메일 첨부 파일을 열어보기 전 신뢰할 수 파일인지 다시 한번 확인하는 습관을 가져야한다”고 당부했습니다.


현재 백신 프로그램 알약(ALYac)에서는 이번 공격에 사용된 악성 파일을 탐지명 'Trojan.Downloader.PPT.Agent'로 차단 및 치료하고 있습니다. 악성코드에 대한 상세분석 내용 및 IoC 정보는 Threat Inside에서 확인하실 수 있습니다. 




관련글 더보기

댓글 영역