경찰청을 사칭하여 유포중인 악성 이메일 주의!
최근 경찰청을 사칭한 악성 메일이 발견되어 사용자들의 주의가 필요합니다.
[그림 1] 경찰청 사칭 악성 메일
이번에 발견된 메일은 경찰청 초대라는 제목으로 유포되었으며, 어색한 한국어를 구사하고 있습니다.
이메일 하단에 현 경찰청장 이름인 민갑룡 영문이름을 추가하여 사용자들의 신뢰를 얻으려 시도하였습니다.
해당 메일에는 문서.iso 파일이 첨부되어 있습니다.
첨부되어있는 문서.iso 파일 안에는 문서.exe 파일이 포함되어 있습니다.
[그림 2] 악성 메일에 포함된 첨부파일
문서.exe 파일 분석
최초 첨부 파일인 ‘문서.exe’은 닷넷 파일으로 자기 자신을 자식 프로세스로 실행한 뒤, ‘Remcos’ 페이로드를 인젝션하는 기능을 수행합니다. 아래는 프로세스 인젝션 코드의 일부입니다.
[그림 3] 인젝션 코드
Remcos 악성코드는 명령제어 악성코드로, C&C 통신 이후 공격자 명령에 따라 다음과 같은 기능을 수행합니다.
키로깅
파일 통제(삭제/다운로드/업로드)
프로세스 통제
레지스트리 통제
‘cmd.exe’ 실행 및 결과 업로드
음성 녹음
화면 녹화
브라우저 정보 탈취
시스템 종료 및 재시작
다음은 파일 다운로드 및 업로드 코드로, 해당 명령에 따라 각각 감염 PC에 추가적으로 악성코드 다운로드 및 드롭과 정보 탈취가 이루어 질 수 있습니다.
[그림 4] 파일 다운로드 코드
[그림 5] 파일 업로드 코드
현재 알약에서는 해당 악성코드에 대해 Backdoor.Remcos.A로 탐지중에 있으며, 관련 IoC는 ThreatInside에서 확인하실 수 있습니다.