악성코드가 첨부된 무역 관련 악성 메일 주의
운송, 견적, 발주 등의 무역과 관련된 다양한 내용이 담긴 악성 메일이 국내에 지속적으로 유포되고 있어 이용자들의 주의를 당부드립니다.
이번에 수집된 메일은 메일에 첨부된 운송 관련 서류의 열람을 유도하는 내용을 담고 있습니다.
[그림 1] 운송 서류 확인 악성 메일
악성 메일에 첨부된 파일 'BL-PL-INV-8289278827882637267277272.ace'에는 악성 파일 'BL-PL-INV-8289278827882637267277272.scr'가 있습니다. 만일 이용자가 무역 관련 문서인 것처럼 생각하여 파일을 실행할 경우, 악성코드가 실행이 됩니다.
[그림 2] 첨부된 'BL-PL-INV-8289278827882637267277272.ace' 악성 파일
악성코드가 실행되면 현재 실행 중인 자기 자신 프로세스의 경로가 '%TEMP%\subfolder\filename.scr'와 동일한지 확인합니다. 동일한 경우, 자기 자신을 자식 프로세스로 실행하고 'NanoCore 원격 제어 악성코드를 로드하는 악성 프로그램'을 인젝션합니다.
하지만 경로가 다른 경우, '%TEMP%' 경로에 'subfolder' 폴더를 생성하고, 폴더 하위에 'filename.scr'와 'filename.vbs' 파일을 생성합니다. 'filename.scr'는 자가 복제된 악성 파일이고, 'filename.vbs'는 자동 실행 레지스트리에 'Registry Key Name' 값으로 자기 자신(filename.vbs) 등록 및 자가 복제된 'filename.scr' 악성 프로그램을 실행하는 악성 스크립트 파일입니다.
다음은 생성된 'filename.vbs'를 실행하는 코드입니다. 'filename.vbs'가 실행된 뒤, 현재 실행 중인 프로세스는 종료됩니다.
[그림 3] 'filename.vbs' 실행 코드
'filename.vbs' 코드는 다음과 같습니다.
[그림 4] 'filename.vbs' 코드
최종적으로 인젝션되어 실행되는 자식 프로세스(filename.scr)에서는 NanoCore 악성코드가 실행되며, 키로깅 기능 및 C&C(160.202.163.200) 연결 이후 원격 제어 기능(봇 기능)을 수행합니다. C&C 연결 코드 및 키로깅 코드는 다음과 같습니다.
[그림 5] C&C 연결 코드
[그림 6] 키로깅 코드
키로깅된 데이터들은 '%APPDATA%\[MachineGUID 값]\Logs\[사용자 계정 이름]\KB_[임의의숫자 6~7자리].log' 파일에 저장됩니다.
[그림 7] 키로깅 데이터가 저장된 파일
다음은 봇 기능입니다. 봇 기능에는 키로깅한 데이터를 서버로 전송하는 기능, 감염 PC의 DNS 캐시 정보를 가져오는 기능 등이 있습니다. 만일 C&C와 통신이 이루어졌을 경우, 이용자가 무심결에 연 악성코드에 의해 공격자는 원격으로 PC를 제어할 수 있어 피해가 발생할 수 있습니다.
[그림 8] 봇 코드
관련하여 운송 관련 내용 외에도 구매 주문서, 견적, 선적 서류 확인 내용으로도 유포되고 있습니다.
[그림 9] 첨부된 견적서 확인 악성 메일
[그림 10] 제품 도면 확인 악성 메일
추가적으로 빨간 강조색을 사용하여 마치 진짜 담당자가 보낸 것처럼 위장한 사례도 있습니다.
[그림 11] 제품 도면 확인 악성 메일 사례
앞서 언급한 NanoCore 악성코드가 첨부된 악성 메일 등의 사례를 봤을 때, 무역 관련 내용으로 위장한 악성 메일이 꾸준히 국내에 유포되고 있음을 알 수 있습니다. 특히나 무역 관련 종사자가 메일에 첨부된 악성코드를 실행할 경우 금전 등의 피해가 발생할 수 있어 주의가 필요합니다. 따라서 악성코드에 감염이 되지 않기 위해 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가시기 바랍니다.
해당 악성코드는 현재 알약에서 'Trojan.Agent.884736M, Spyware.Pony, Trojan.Agent.D0600'로 진단하고 있습니다.