악성코드 분석 리포트

TA505 조직이 유포중인 악성메일 주의!

알약(Alyac) 2019. 12. 19. 09:12


안녕하세요

이스트시큐리티 대응센터(ESRC) 입니다. 


TA505 조직이 악성메일을 유포하는 정황이 포착되어 사용자들의 주의가 필요합니다. 


TA505 조직은 러시아 정부 지원을 받는 해킹 조직으로 추정되고 있으며, 국내에서도 올해 4월부터 꾸준히 피싱 메일을 통해 악성코드를 유포중에 있습니다. 


[그림1] 피싱 메일


이번에 발견된 이메일은 연례 보고서라는 제목으로 유포되었으며, 이메일에는 첨부파일 대신 국내 유명 메일서비스의 대용량파일 형태로 첨부되어 있습니다.


메일 본문에 포함된 대용량파일을 클릭하면 .xls 파일이 내려오며, 해당 엑셀파일 안에는 악성 매크로가 포함되어 있습니다. 


[그림2] 악성 메크로가 포함된 첨부 파일



엑셀 파일 내에는 "MICROSOFT OFFICE EXCEL의 데스크톱 또는 랩톱 버전에서만 사용할 수 있습니다"라는 문구로 사용자에게 제한된 보기 설정을 해제하는 [편집사용] 버튼을 클릭하도록 유도합니다.


만약 사용자가 [편집사용] 버튼을 눌러 악성 매크로가 활성화 되면, ‘%appdata%\\Microsoft\Windows\Templates\’ 경로에 ‘outgoing.dll’ 악성 모듈 파일을 드롭하고, ‘EXCEL.exe’ 프로세스에 최종 악성 모듈을 로드합니다.


[그림3] 'outgoing.dll'을 로드하는 화면


‘EXCEL.exe’ 프로세스에서 로드되어 실행되는 악성 모듈은 C&C로 감염PC 시스템 정보 등의 정보 전송 기능과 다운로더(인젝션 or 파일 드롭으로 실행) 기능을 수행합니다.


[그림4] 인젝션 코드


분석 시점에서 공격자의 C&C가 연결이 되지 않아 추가적인 악성행위는 확인하지 못했지만, 만약 C&C에 연결되어 추가적인 다운로드가 이루어진다면 2차 피해가 우려되고 있어 사용자들의 각별한 주의가 필요합니다. 


현재 알약에서는 해당 악성코드에 대해 Trojan.Dropper.X97M, Trojan.Agent.282624T탐지중에 있습니다.