본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

연말 견적 문의를 위장하여 기업 정보를 노리는 Lokibot 주의!

보안공지 2022-12-14


 

기업을 대상으로 견적의뢰 사칭 피싱 메일이 대량으로 유포되고 있어 기업 사용자들의 각별한 주의가 요구됩니다. 

공격자는 기업들이 내년 사업준비 및 예산 확보를 위해 연말에 견적 문의를 많이하는 점을 악용하여 견적문의를 위장한 악성 메일을 유포하고 있습니다. 

수신자의 신뢰를 얻기 위하여 이미 다른 경로로 유출된 정상 사용자의 이메일 계정을 이용하여 악성 메일을 유포한 것으로 추정되고 있습니다. 
 

[그림 1] 악성 이메일

이메일은 견적의뢰 내용과 함께  CVE-2017-11882 취약점을 악용하는 익스플로잇이 포함된 워드파일이 첨부되어 있습니다. 

CVE-2017-11882 취약점은 원격코드실행이 가능하도록 허용하는 스택오버플로우 취약점으로, 해당 취약점이 패치된 버전을 사용중인 사용자라면 해당 파일을 열람하여도 아무 이상이 없지만, 해당 취약점이 존재하는 버전을 사용중인 사용자라면 익스플로잇이 존재하는 워드파일 열람 만으로 악성코드에 감염되게 됩니다. 

 

[그림 2] 워드파일 실행 후 보이는 화면


워드 파일을 열람하면 견적과는 관계 없는 영문으로 작성된 내용이 보여집니다. 

하지만 백그라운드에서는 MS오피스에 포함된 수식 편집기 프로그램인 EQNEDT32.EXE에 존재하는 CVE-2017-11882 취약점을 이용하여 내부에 포함되어 있는 ShellCode가 호출됩니다. 

 

[그림 3] 내부에 포함된 쉘코드 화면

 

[그림 4] URLDownloadToFileW 호출과 페이로드 다운로드 화면


해당 shellcode는 공격자가 미리 설정해 놓은 C&C 208.67.105.179에서 추가 페이로드를 %appdata% 경로에 ‘victoryloh583.exe’ 이름으로 내려받고, 내려받은 victoryloh583.exe 파일을 실행합니다. 

최종적으로 실행되는 victoryloh583.exe 파일은 Lokibot으로 사용자 PC정보와 함께 웹 브라우저, 메일 클라이언트, FTP 프로그램 등에 저장해 놓은 계정 비밀번호를 탈취하여 공격자의 C&C 서버로 전송합니다. 

C&C 서버 정보
208.67.105.148:80


기업 보안담당자 여러분들께서는 SW의 버전을 항상 최신으로 유지하시어 이미 공개된 취약점을 악용하는 공격을 사전에 예방 하시기 바랍니다.


현재 알약에서는 해당 악성코드에 대해 Exploit.CVE-2017-11882, Spyware.LokiBot으로 탐지중에며 변종에 대해서도 지속적으로 모니터링 중에 있습니다.