안녕하세요. ESRC(시큐리티 대응센터)입니다.
최근 국내 유명 은행 보안메일을 사칭한 악성 이메일이 발견되어 사용자들의 주의가 필요합니다.
이번에 발견된 메일은 "보안메일"이라는 제목을 사용하며, 실제 해당 은행에서 보내는 보안메일과 유사하게 제작되었습니다.
보안메일 프로그램처럼 보이는 첨부 파일은 “PDF 문서 아이콘”으로 위장하여 사용자가 다운로드하여 실행 시 악성 행위를 시작합니다.
악성파일은 Remcos Rat 1.7 Pro 버전으로 확인되었으며 진단을 우회하기 위해 .NET을 이용하였으나, 내부 악성 모듈을 추출하면 버전 정보가 하드코딩되어 있습니다.
Remcos 악성코드는 명령제어 악성코드로, C&C 통신 이후 공격자 명령에 따라 다음과 같은 기능을 수행합니다.
명령어 | 설 명 |
filemgr, upload, rename, deletefile, downloadfromurltofile | 파일관리 (업로드, 다운로드, 파일명변경, 파일삭제) |
regopened, regcreatekey, regeditval, regdelkey, regdelval, regopen, initregedit |
레지스트리 관리(값 및 키 추가, 편집, 이름 바꾸기, 삭제) |
getproclist, prockill | 프로세스 관리 (프로세스 리스트 및 종료) |
keyinput | 키로깅 |
consolecmd, execcom, cmdoutput, sendfiledata | 셸 명령 실행 및 결과 업로드 |
scrcap | 화면 스크린샷 |
OSpower | 시스템 종료 및 재시작 |
이외에도 사용자 PC에 동작 중인 브라우저(Internet Explorer, Chrome, Firefox)의 쿠키 데이터와 로그인 정보를 수집합니다.
현재 알약에서는 해당 악성코드에 대해 Backdoor.Remcos.A 로 탐지 중에 있으며, 관련 IoC는 Threat Inside에서 확인하실 수 있습니다.
"스마트폰 클라우드 스토리지 해킹"으로 협박하는 혹스(Hoax)메일 주의!! (0) | 2021.06.14 |
---|---|
ESRC 주간 Email 위협 통계 (6월 첫째주) (0) | 2021.06.08 |
ESRC 4월 스미싱 트렌드 보고서 (0) | 2021.06.01 |
금융거래 · 사례비 지급 명목으로 접근하는 해킹 피해 우려 (0) | 2021.05.26 |
Trojan.Android.KRBanker 악성코드 분석 보고서 (0) | 2021.05.21 |
댓글 영역