상세 컨텐츠

본문 제목

한국인터넷정보센터(KRNIC)를 사칭한 정보수집 악성 이메일 주의!! (변종 내용 추가)

악성코드 분석 리포트

by 알약1 2022. 3. 25. 02:31

본문

 

안녕하세요. ESRC(시큐리티 대응센터)입니다.


최근 국내 인터넷주소자원을 관리하는 한국인터넷정보센터를 사칭한 악성 이메일이 발견되어 사용자들의 주의가 필요합니다. 

 

이번에 발견된 메일은 "[인터넷주소정책위원회 알림] 인터넷주소 정책결정 내역"이라는 제목을 사용하며, 인터넷주소 정책결정의 투명성과 실효성을 높이기 위해 일반국민의 의견 수렴을 빌미로 발송 되었고, 비밀번호가 설정 된 "고객정보_KRNIC0A0015.doc" 문서파일이 첨부되어 있습니다. 

 

 

[그림 1] 한국인터넷정보센터 사칭 악성 이메일

 

 

첨부 된 doc 문서 파일은 매크로가 포함되어 있으며, 문서가 실행되면 인터넷이 연결되지 않아 콘텐츠를 불러올 수 없다는 내용과 '콘텐츠 사용(Enable Conten)' 버튼의 클릭을 유도합니다.

 

 

[그림 2] 고객정보_KRNIC0A0015.doc 문서 실행 화면

 

추가로 발견 된 doc 문서는 가상화폐 거래소 바이낸스(Binance)를 사칭하여 이전 문서와 동일하게 '콘텐츠 사용(Enable Conten)' 버튼의 클릭을 유도합니다.

 

 

[그림 3] Binance_Guide (1).doc 문서 실행 화면

 

 

* 2022-03-29 추가 내용​

추가로 발견 된 악성코드는 국내 보안업체의 상호명을 이용하여 사용자가 "콘텐츠 사용"을 클릭 할 수 있도록 유도하고 있으며, "202203 BTCETH 추가계정정보-1.docx", "NFT 분할.docx" 의 가상화폐와 관련 된 이름의 문서 파일입니다.

 

 

[그림 3-1] 추가로 발견 된 문서의 실행 화면 (1)

 

 

* 2022-03-31 추가 내용

추가로 발견 된 악성코드도 이전에 발견 된 문서처럼 국내 보안업체의 상호명을 이용하여 사용자가 "콘텐츠 사용"을 클릭 할 수 있도록 유도하고 있으며, "202204_암호화폐_투자기획.docx", "유사수신행위 고소장.docx" 의 가상화폐 및 사용자가 클릭을 할 만한 문서의 이름으로 제작되었습니다.

 

 

[그림 3-2] 추가로 발견 된 문서의 실행 화면 (2)

 

[그림 3-3] 추가로 발견 된 문서의 실행 화면 (3)

 

[그림 3-4] 추가로 발견 된 문서의 실행 화면 (4)

 

 

 

* 2022-04-05 추가 내용

금일 추가 발견 된 악성코드는 "긴급재난지원금신청서양식.docx", "대한광산개발(주).docx", "주주총회결과.docx", "출석통지서.docx 의 파일명으로 제작되어 있습니다.

 

귀하에 대해 '코로나 19 방역수칙'위반 피의사건에 관하여 문의할 일이 있으니 2022.04.07(목) 14:00에 서울도봉경찰서 생활안전계[서울시 도봉구 노해로 403]로 출석하여 주시기 바랍니다. 구체적인 사항은 첨부한 통지서에서 확인하십시오. 정당한 이유 없이 출석요구에 응하지 아니하면 [형사소송법] 제 200조의 2의 규정에 따라 1천만원 이하의 처벌을 받을 수 있습니다.

 

 

[그림 3-5] 추가로 발견 된 문서의 실행 화면 (5)

 

[그림 3-6] 추가로 발견 된 문서의 실행 화면 (6)

 

[그림 3-7] 추가로 발견 된 문서의 실행 화면 (7)

 

 

* 2022-04-06 추가 내용

금일 추가 발견 된 악성코드는 "크립토스_로그인.docx", "디자인테크_로그인.docx", "헬스캠핑_로그인" 의 로그인 관련 파일명으로 제작되어 있습니다.

 

 

[그림 3-8] 추가로 발견 된 문서의 실행 화면 (8)

 

 

* 2022-04-07 추가 내용

금일 추가 발견 된 악성코드는 "긴급재난지원금신청서양식.docx", "40억_자금투자계약서.docx", "마산합포구 400억 대출요청.docx", "계약서.docx", "투자계약서.docx" 등 금융관련 파일명으로 제작되어 있습니다.

 

 

[그림 3-9] 추가로 발견 된 문서의 실행 화면 (9)

 

[그림 3-10] 추가로 발견 된 문서의 실행 화면 (10)

 

 

* 2022-04-11 추가 내용

금일 추가 발견 된 악성코드는 "사건 경위서.docx", "NFT Metakongz Minting.chm", "견적서_거래명세서_통합관리.xlsm" 등 사용자가 쉽게 클릭할 수 있는 파일명으로 제작되어 있습니다.

 

 

[그림 3-11] 추가로 발견 된 문서의 실행 화면 (11)

 

[그림 3-12] 추가로 발견 된 문서의 실행 화면 (12)

 

 

사용자가 문서의 내용 처럼 "콘텐츠 사용"을 클릭 시 아래와 같은 메시지창이 팝업 됩니다.

 

 

[그림 3-4] 콘텐츠 사용 클릭 시 팝업되는 메시지 창 화면

 

 

2개의 문서 파일 모두 삽입된 매크로는 외부에서 추가 페이로드(32Bit / 64Bit)) 다운로드 후 별도의 디코딩작업을 거쳐 실행파일로 만들어 지며 이후 'word.exe' 파일을 자식 프로세스로 생성시킨 뒤 인젝션 하는 기능을 수행합니다. 

 

- 사용자 운영체제에 따른 페이로드 주소
hxxp://1xJOiKZd.naveicoipa[.]tech/ACMS/Cjtpp17D/Cjtpp17D32.acm
hxxp://1xJOiKZd.naveicoipa[.]tech/ACMS/Cjtpp17D/Cjtpp17D64.acm
hxxp://uzzmuqwv.naveicoipc[.]tech/ACMS/1uFnvppj/1uFnvppj32.acm
hxxp://uzzmuqwv.naveicoipc[.]tech/ACMS/1uFnvppj/1uFnvppj64.acm

* 2022-03-29 추가

hxxp://ZVc1ijAU.naveicoipc[.]tech/ACMS/0lvNAK1t/0lvNAK1t64.acm
hxxp://ZVc1ijAU.naveicoipc[.]tech/ACMS/0lvNAK1t/0lvNAK1t32.acm
hxxp://naveicoipd[.]tech/ACMS/0lvNAK1t/accountsTemplate
hxxp://naveicoipc[.]tech/ACMS/0lvNAK1t/0lvNAK1t32.acm
hxxp://naveicoipc[.]tech/ACMS/0lvNAK1t/0lvNAK1t64.acm
hxxp://naveicoipd[.]tech/ACMS/018ueCdS/018ueCdS32.acm
hxxp://naveicoipd[.]tech/ACMS/018ueCdS/018ueCdS64.acm
hxxp://naveicoipd[.]tech/ACMS/018ueCdS/blockchainTemplate

 

* 2022-03-31 추가

hxxp://bcvbert.naveicoipe[.]tech/ACMS/01AweT9Z/01AweT9Z32.acm
hxxp://bcvbert.naveicoipe[.]tech/ACMS/01AweT9Z/01AweT9Z64.acm
hxxp://bcvbert.naveicoipe[.]tech/ACMS/01AweT9Z/wwwTemplate
hxxp://msldkopw.naveicoipe[.]tech/ACMS/0TQyKdO9/0TQyKdO932.acm
hxxp://msldkopw.naveicoipe[.]tech/ACMS/0TQyKdO9/0TQyKdO964.acm
hxxp://msldkopw.naveicoipe[.]tech/ACMS/0TQyKdO9/accountTemplate0330
hxxp://msldkopw.naveicoipe[.]tech/ACMS/0TQyKdO9/accountTemplate03300
hxxp://msldkopw.naveicoipe[.]tech/ACMS/0TQyKdO9/accountTemplate03301
hxxp://msldkopw.naveicoipe[.]tech/ACMS/0TQyKdO9/accountTemplate03302
hxxp://msldkopw.naveicoipe[.]tech/ACMS/0TQyKdO9/accountTemplate03303
hxxp://msldkopw.naveicoipe[.]tech/ACMS/0TQyKdO9/accountTemplate03304

hxxp://xjowihgnxcvb.naveicoipf[.]online/ACMS/07RRwrwK/07RRwrwK32.acm
hxxp://xjowihgnxcvb.naveicoipf[.]online/ACMS/07RRwrwK/07RRwrwK64.acm
hxxp://xjowihgnxcvb.naveicoipf[.]online/ACMS/07RRwrwK/securityTemplate1
hxxp://xjowihgnxcvb.naveicoipf[.]online/ACMS/07RRwrwK/securityTemplate2
hxxp://xjowihgnxcvb.naveicoipf[.]online/ACMS/07RRwrwK/securityTemplate3
hxxp://xjowihgnxcvb.naveicoipf[.]online/ACMS/07RRwrwK/securityTemplate4
hxxp://xjowihgnxcvb.naveicoipf[.]online/ACMS/07RRwrwK/securityTemplate5
hxxp://xjowihgnxcvb.naveicoipf[.]online/ACMS/07RRwrwK/securityTemplate6
hxxp://xjowihgnxcvb.naveicoipf[.]online/ACMS/07RRwrwK/securityTemplate7
hxxp://xjowihgnxcvb.naveicoipf[.]online/ACMS/07RRwrwK/securityTemplate8
hxxp://xjowihgnxcvb.naveicoipf[.]online/ACMS/07RRwrwK/securityTemplate9

 

* 2022-04-05 추가

hxxp://jbmnqpwp.naveicoipg[.]online/ACMS/0y0fMbUp/0y0fMbUp64.acm
hxxp://jbmnqpwp.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate0
hxxp://jbmnqpwp.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate1
hxxp://jbmnqpwp.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate2
hxxp://jbmnqpwp.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate3
hxxp://jbmnqpwp.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate4
hxxp://jbmnqpwp.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate5
hxxp://jbmnqpwp.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate6
hxxp://jbmnqpwp.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate7
hxxp://jbmnqpwp.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate8
hxxp://jbmnqpwp.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate9
hxxp://edfeiyql.naveicoipg[.]online/ACMS/0y0fMbUp/0y0fMbUp32.acm
hxxp://edfeiyql.naveicoipg[.]online/ACMS/0y0fMbUp/0y0fMbUp64.acm
hxxp://edfeiyql.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate0
hxxp://edfeiyql.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate1
hxxp://edfeiyql.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate2
hxxp://edfeiyql.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate3
hxxp://edfeiyql.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate4
hxxp://edfeiyql.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate5
hxxp://edfeiyql.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate6
hxxp://edfeiyql.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate7
hxxp://edfeiyql.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate8
hxxp://edfeiyql.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate9
hxxp://vnwoei.naveicoipg[.]online/ACMS/0s4AtPuk/0s4AtPuk32.acm
hxxp://vnwoei.naveicoipg[.]online/ACMS/0s4AtPuk/0s4AtPuk64.acm
hxxp://vnwoei.naveicoipg[.]online/ACMS/0s4AtPuk/wwwTemplate
hxxp://kygfkdum.naveicoipg[.]online/ACMS/0s4AtPuk/0s4AtPuk32.acm
hxxp://kygfkdum.naveicoipg[.]online/ACMS/0s4AtPuk/0s4AtPuk64.acm
hxxp://kygfkdum.naveicoipg[.]online/ACMS/0s4AtPuk/wwwTemplate
hxxp://lbmwbnbieo.naveicoipg[.]online/ACMS/0y0fMbUp/0y0fMbUp32.acm
hxxp://lbmwbnbieo.naveicoipg[.]online/ACMS/0y0fMbUp/0y0fMbUp64.acm
hxxp://lbmwbnbieo.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate0
hxxp://lbmwbnbieo.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate1
hxxp://lbmwbnbieo.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate2
hxxp://lbmwbnbieo.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate3
hxxp://lbmwbnbieo.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate4
hxxp://lbmwbnbieo.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate5
hxxp://lbmwbnbieo.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate6
hxxp://lbmwbnbieo.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate7
hxxp://lbmwbnbieo.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate8
hxxp://lbmwbnbieo.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate9

hxxp://olsnvolqwe.naveicoipg[.]online/ACMS/0y0fMbUp/0y0fMbUp32.acm
hxxp://olsnvolqwe.naveicoipg[.]online/ACMS/0y0fMbUp/0y0fMbUp64.acm
hxxp://olsnvolqwe.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate0
hxxp://olsnvolqwe.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate1
hxxp://olsnvolqwe.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate2
hxxp://olsnvolqwe.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate3
hxxp://olsnvolqwe.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate4
hxxp://olsnvolqwe.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate5
hxxp://olsnvolqwe.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate6
hxxp://olsnvolqwe.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate7
hxxp://olsnvolqwe.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate8
hxxp://olsnvolqwe.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate9

hxxp://jvnquetbon.naveicoipg[.]online/ACMS/0pxCtBMz/0pxCtBMz32.acm
hxxp://jvnquetbon.naveicoipg[.]online/ACMS/0pxCtBMz/0pxCtBMz64.acm
hxxp://jvnquetbon.naveicoipg[.]online/ACMS/0pxCtBMz/policeTemplate0
hxxp://jvnquetbon.naveicoipg[.]online/ACMS/0pxCtBMz/policeTemplate1
hxxp://jvnquetbon.naveicoipg[.]online/ACMS/0pxCtBMz/policeTemplate2
hxxp://jvnquetbon.naveicoipg[.]online/ACMS/0pxCtBMz/policeTemplate3
hxxp://jvnquetbon.naveicoipg[.]online/ACMS/0pxCtBMz/policeTemplate4
hxxp://jvnquetbon.naveicoipg[.]online/ACMS/0pxCtBMz/policeTemplate5
hxxp://jvnquetbon.naveicoipg[.]online/ACMS/0pxCtBMz/policeTemplate6
hxxp://jvnquetbon.naveicoipg[.]online/ACMS/0pxCtBMz/policeTemplate7
hxxp://jvnquetbon.naveicoipg[.]online/ACMS/0pxCtBMz/policeTemplate8
hxxp://jvnquetbon.naveicoipg[.]online/ACMS/0pxCtBMz/policeTemplate9

 

* 2022-04-06 추가

hxxp://pv5pnwlx.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate0
hxxp://pv5pnwlx.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate1
hxxp://pv5pnwlx.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate2
hxxp://pv5pnwlx.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate3
hxxp://pv5pnwlx.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate4
hxxp://pv5pnwlx.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate5
hxxp://pv5pnwlx.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate6
hxxp://pv5pnwlx.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate7
hxxp://pv5pnwlx.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate8
hxxp://pv5pnwlx.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate9
hxxp://pv5pnwlx.naveicoipg[.]online/ACMS/0ucLxIjP/0ucLxIjP64.acm
hxxp://pv5pnwlx.naveicoipg[.]online/ACMS/0ucLxIjP/0ucLxIjP32.acm
hxxp://kdzdm1rq.naveicoipg[.]online/ACMS/0ucLxIjP/0ucLxIjP32.acm
hxxp://kdzdm1rq.naveicoipg[.]online/ACMS/0ucLxIjP/0ucLxIjP64.acm
hxxp://kdzdm1rq.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate0
hxxp://kdzdm1rq.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate1
hxxp://kdzdm1rq.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate2
hxxp://kdzdm1rq.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate3
hxxp://kdzdm1rq.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate4
hxxp://kdzdm1rq.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate5
hxxp://kdzdm1rq.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate6
hxxp://kdzdm1rq.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate7
hxxp://kdzdm1rq.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate8
hxxp://kdzdm1rq.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate9
hxxp://AOsM8Cts.naveicoipg[.]online/ACMS/0ucLxIjP/0ucLxIjP32.acm
hxxp://AOsM8Cts.naveicoipg[.]online/ACMS/0ucLxIjP/0ucLxIjP64.acm
hxxp://AOsM8Cts.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate0
hxxp://AOsM8Cts.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate1
hxxp://AOsM8Cts.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate2
hxxp://AOsM8Cts.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate3
hxxp://AOsM8Cts.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate4
hxxp://AOsM8Cts.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate5
hxxp://AOsM8Cts.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate6
hxxp://AOsM8Cts.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate7
hxxp://AOsM8Cts.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate8
hxxp://AOsM8Cts.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate9

hxxp://ADzJvazJ.naveicoipg[.]online/ACMS/0ucLxIjP/0ucLxIjP32.acm
hxxp://ADzJvazJ.naveicoipg[.]online/ACMS/0ucLxIjP/0ucLxIjP64.acm
hxxp://ADzJvazJ.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate0
hxxp://ADzJvazJ.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate1
hxxp://ADzJvazJ.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate2
hxxp://ADzJvazJ.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate3
hxxp://ADzJvazJ.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate4
hxxp://ADzJvazJ.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate5
hxxp://ADzJvazJ.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate6
hxxp://ADzJvazJ.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate7
hxxp://ADzJvazJ.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate8
hxxp://ADzJvazJ.naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate9

 

* 2022-04-07 추가

hxxp://qogngnslel.naveicoipg[.]online/ACMS/0y0fMbUp/0y0fMbUp32.acm
hxxp://qogngnslel.naveicoipg[.]online/ACMS/0y0fMbUp/0y0fMbUp64.acm
hxxp://qogngnslel.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate0
hxxp://qogngnslel.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate0
hxxp://qogngnslel.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate2
hxxp://qogngnslel.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate3
hxxp://qogngnslel.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate4
hxxp://qogngnslel.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate5
hxxp://qogngnslel.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate6
hxxp://qogngnslel.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate7
hxxp://qogngnslel.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate8
hxxp://qogngnslel.naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate9
hxxp://cecomtp3.naveicoipg[.]online/ACMS/0o0WQher/0o0WQher32.acm
hxxp://cecomtp3.naveicoipg[.]online/ACMS/0o0WQher/0o0WQher64.acm
hxxp://cecomtp3.naveicoipg[.]online/ACMS/0o0WQher/ttt0
hxxp://cecomtp3.naveicoipg[.]online/ACMS/0o0WQher/ttt1
hxxp://cecomtp3.naveicoipg[.]online/ACMS/0o0WQher/ttt2
hxxp://cecomtp3.naveicoipg[.]online/ACMS/0o0WQher/ttt3
hxxp://cecomtp3.naveicoipg[.]online/ACMS/0o0WQher/ttt4
hxxp://cecomtp3.naveicoipg[.]online/ACMS/0o0WQher/ttt5
hxxp://cecomtp3.naveicoipg[.]online/ACMS/0o0WQher/ttt6
hxxp://cecomtp3.naveicoipg[.]online/ACMS/0o0WQher/ttt7
hxxp://cecomtp3.naveicoipg[.]online/ACMS/0o0WQher/ttt8
hxxp://cecomtp3.naveicoipg[.]online/ACMS/0o0WQher/ttt9
hxxp://l1tog1iv.naveicoipg[.]online/ACMS/0o0WQher/0o0WQher32.acm
hxxp://l1tog1iv.naveicoipg[.]online/ACMS/0o0WQher/0o0WQher64.acm
hxxp://l1tog1iv.naveicoipg[.]online/ACMS/0o0WQher/ttt0
hxxp://l1tog1iv.naveicoipg[.]online/ACMS/0o0WQher/ttt1
hxxp://l1tog1iv.naveicoipg[.]online/ACMS/0o0WQher/ttt2
hxxp://l1tog1iv.naveicoipg[.]online/ACMS/0o0WQher/ttt3
hxxp://l1tog1iv.naveicoipg[.]online/ACMS/0o0WQher/ttt4
hxxp://l1tog1iv.naveicoipg[.]online/ACMS/0o0WQher/ttt5
hxxp://l1tog1iv.naveicoipg[.]online/ACMS/0o0WQher/ttt6
hxxp://l1tog1iv.naveicoipg[.]online/ACMS/0o0WQher/ttt7
hxxp://l1tog1iv.naveicoipg[.]online/ACMS/0o0WQher/ttt8
hxxp://l1tog1iv.naveicoipg[.]online/ACMS/0o0WQher/ttt9
hxxp://123fisd.naveicoipg[.]online/ACMS/0mFCUrPf/0mFCUrPf32.acm
hxxp://123fisd.naveicoipg[.]online/ACMS/0mFCUrPf/0mFCUrPf64.acm
hxxp://123fisd.naveicoipg[.]online/ACMS/0mFCUrPf/temp04060
hxxp://aat1pbil.naveicoipg[.]online/ACMS/0mFCUrPf/0mFCUrPf32.acm
hxxp://aat1pbil.naveicoipg[.]online/ACMS/0mFCUrPf/0mFCUrPf64.acm
hxxp://aat1pbil.naveicoipg[.]online/ACMS/0mFCUrPf/temp04060
hxxp://Urm1O6H0.naveicoipg[.]online/ACMS/0o0WQher/ttt7
hxxp://tp0Rw6ie.naveicoipg[.]online/ACMS/0o0WQher/ttt8

 

* 2022-04-11 추가

hxxp://rxpz7z2yi8.naveicoiph[.]online/ACMS/0mIORke9/0mIORke932.acm
hxxp://rxpz7z2yi8.naveicoiph[.]online/ACMS/0mIORke9/0mIORke964.acm
hxxp://rxpz7z2yi8.naveicoiph[.]online/ACMS/0mIORke9/qwer
hxxp://dtdgwgfvr.naveicoiph[.]online/ACMS/0mIORke9/0mIORke932.acm
hxxp://dtdgwgfvr.naveicoiph[.]online/ACMS/0mIORke9/0mIORke964.acm
hxxp://dtdgwgfvr.naveicoiph[.]online/ACMS/0mIORke9/qwer
hxxp://d4yp8bphj3.naveicoiph[.]online/ACMS/0mIORke9/0mIORke9temp
hxxp://d4yp8bphj3.naveicoiph[.]online/ACMS/0mIORke9/0mIORke932.acm
hxxp://d4yp8bphj3.naveicoiph[.]online/ACMS/0mIORke9/0mIORke964.acm
hxxp://6la0cwds.naveicoiph[.]online/ACMS/0vAevNJg/0vAevNJg64.acm
hxxp://6la0cwds.naveicoiph[.]online/ACMS/0vAevNJg/0vAevNJg32.acm

 

 

[그림 4] 문서 파일 내부에 삽입 되어있는 매크로 스크립트 화면

 

 

인젝션 된 실행파일은 사용자 시스템에서 실행 중인 프로세스에 "v3l4sp.exe" 가 있는 경우 프로그램을 종료 시키며, C:\ProgramData\Intel 경로에 IntelRST.exe 이름으로 페이로드 디코딩해서 드롭시키는 드롭퍼 역활을 수행합니다.

 

 

[그림 5] 사용자 운영체제에 따라 다운로드 되는 페이로드 서버 화면

 

 

추가 생성 된 IntelRST.exe 파일은 클라우드 서버 드롭박스(Dropbox)를 중개로 사용자 정보를 전달하고, 추가 페이로드 다운로드 기능이 있습니다. 

 

- C&C 공격자 접속
hxxps://dl.dropboxusercontent.com/s/k288s9tu2o53v41/zs_url.txt?dl=0

 

 

전달하는 사용자의 정보는 사용자 이름, 백신제품(v3l4sp.exe, AYAgent.aye), 운영체제 종류, 운영체제 버전을 전송하며, 추가 페이로드 다운로드 및 실행 시킬 수 있습니다.

 

- 사용자 정보 전달 내용
uid=Cjtpp17D_[사용자 이름]_&avtype=[백신 타입]&majorv=[OS Major]&minorv=[OS Minor]

- 백신 타입 정보
공격자가 지정한 백신이 없을 때 : 1
v3l4sp.exe가 있을 때(V3Lite) : 2
AYAgent.aye가 있을 때(ALYac) : 3

 

 

[그림 6] 사용자 정보를 전달하는 네트워크 패킷 화면

 

 

분석 진행 중 동일한 악성행위를 하지만 유포방식이 다른 내용이 확인되어 추가합니다.

해당 악성코드는 3월 27일 코로나 확진 안내문으로 사칭한 형태로 윈도우 도움말 파일(chm)로 유포되었습니다.

 

 

[그림 7] 코로나 확진 안내문으로 유포된 chm파일 실행화면



chm 내부에 기재 된 단축URL은 실제 질병관리청의 홈페이지로 리다이렉트 되기 때문에 사용자들이 더욱 쉽게 악성파일에 속을 수 있습니다.

 

 

[그림 8] 리다이렉트 된 질병관리청 홈페이지 화면

 


chm 파일 내부에는 악성 행위를 진행하는 html 파일이 존재하며, html 스크립트가 동작하면 hh.exe 프로세스를 이용하여 "c:\\programdata\\chmtemp" 폴더를 생성하고 "chmext.exe" 파일을 실행하게 됩니다.

 

 

[그림 9] chm 파일 내부 화면



chmext.exe은 위의 글의 word 프로세스에 인젝션되어 동작하며, C:\ProgramData\Intel 경로에 IntelRST.exe를 드롭시키며 동일한 악성행위를 수행합니다.

 

 

사용자 여러분들께서는 출처가 불분명한 사용자에게서 수신한 이메일의 열람을 지양해주시기 바라며, 알약과 같은 신뢰할만한 백신 프로그램을 사용하시기 바랍니다.  특히 문서 열람시 절대로 [콘텐츠 사용] 기능을 허용하지 않는 것이 중요합니다.

 

유사한 위협 사례들이 꾸준히 발견되고 있다는 점을 명심해 철저한 보안수칙 준수와 노력이 필요합니다.

 

현재 알약에서는 해당 악성코드를 Trojan.Downloader.DOC.Gen, Trojan.Agent.101376A, Trojan.Agent.107520B, Trojan.Downloader.Agent 로 탐지중에 있습니다. 

 

 

 

관련글 더보기

댓글 영역