TA505조직, 다양한 피싱 메일 형태로 악성 설치파일 유포 주의!
2019년 05월 16일 영업프로젝트, 첨부자료 양식, 사진 파일 등을 위장한 악성 파일이 포함된 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다.
이 피싱 메일은 지난 5월 8일에도 대량으로 유포되었습니다. ESRC에서는 해당 공격이 TA505 공격 그룹에 의한 소행이라고 판단하고 있습니다.
[그림 1] '영업프로젝트', '첨부자료 양식' 제목으로 전달된 악성 피싱 메일
[그림 2] 'OOO 사진 입니다'라는 제목으로 전달된 악성 피싱 메일
이번에 발견된 악성 메일은 다양한 중소기업과 사용자명을 사칭하였으며, 메일 하단의 전자서명 서식도 보통 사용하는 서식 형식과 유사하게 도용하였습니다.
본문 메일 내용은 한 줄 또는 두 줄로 짧지만, 전자 서명 및 실존하는 회사명과 이름을 사칭하여 메일의 신뢰도를 높였습니다.
악성 피싱 메일에 첨부된 첨부파일은 MS Word(.doc) 및 MS Excel(.xls) 파일입니다.
[그림 3] 수집된 MS Office 악성 파일 화면
Excel 파일의 경우, 이전에 발견된 악성 파일과 동일하게 XML 매크로를 사용하도록 유도하는 안내 문구를 확인하실 수 있습니다.
[그림 4] 매크로 사용을 유도하는 악성 Excel 파일 내용
보안 경고를 무시하고 '콘텐츠 사용'을 클릭해 XML 매크로를 실행하면 엑셀에 작성된 코드를 통해 악성 파일이 사용자 PC로 다운로드됩니다.
악성파일을 다운로드하는 링크는 엑셀 숨김시트에 숨겨져 있으며, 다음과 같이 Windows Installer 프로그램을 실행하는 다양한 명령어를 확인하실 수 있습니다.
[그림 5] Excel 숨김 시트 화면
최종 악성코드는 작성된 2가지 링크를 통해 나누어 다운로드가 진행되며, 이는 1차 다운로드 파일에서 백신 검사를 통해 최종 페이로드 탐지를 우회하기 위함으로 보입니다.
이번에 수집된 Word 파일 또한 파일을 열어보면, 기존의 악성 Excel 파일과 동일하게 XML 매크로를 사용하도록 유도하는 안내 문구를 확인하실 수 있습니다.
[그림 6] 매크로 사용을 유도하는 악성 Word 파일 내용
악성 파일은 아래의 명령어로 C&C에서 'lsadat1'라는 악성 파일을 내려받고 최종 악성 페이로드(PE) 다운을 시도하는데, 금일 수집한 악성 샘플에서는 최종 악성코드를 제대로 다운로드하지 못하는 것으로 나타났습니다.
[그림 7] 악성 설치파일을 다운로드하는 명령어 내용
하지만 언제 공격자가 제대로 실행되는 악성파일을 유포할지 모르기 때문에, 출처가 불분명한 사용자에게서 온 메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다.
금일 발견된 악성 샘플과 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.
현재 알약에서는 해당 악성 파일에 대해 Trojan.Downloader.XLS.gen으로 탐지 중에 있습니다.