TA505조직, 다양한 피싱 메일 형태로 꽁 머니 카지노 3 만 설치파일 유포 주의!

2019년 05월 16일 영업프로젝트, 첨부자료 양식, 사진 파일 등을 위장한 꽁 머니 카지노 3 만 파일이 포함된 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다.

이 피싱 메일은 지난 5월 8일에도 대량으로 유포되었습니다. ESRC에서는 해당 공격이 TA505 공격 그룹에 의한 소행이라고 판단하고 있습니다.

[그림 1] '영업프로젝트', '첨부자료 양식' 제목으로 전달된 꽁 머니 카지노 3 만 피싱 메일

[그림 2] 'OOO 사진 입니다'라는 제목으로 전달된 꽁 머니 카지노 3 만 피싱 메일

이번에 발견된 꽁 머니 카지노 3 만 메일은 다양한 중소기업과 사용자명을 사칭하였으며, 메일 하단의 전자서명 서식도 보통 사용하는 서식 형식과 유사하게 도용하였습니다.

본문 메일 내용은 한 줄 또는 두 줄로 짧지만, 전자 서명 및 실존하는 회사명과 이름을 사칭하여 메일의 신뢰도를 높였습니다.

꽁 머니 카지노 3 만 피싱 메일에 첨부된 첨부파일은 MS Word(.doc) 및 MS Excel(.xls) 파일입니다.

[그림 3] 수집된 MS Office 꽁 머니 카지노 3 만 파일 화면

Excel 파일의 경우, 이전에 발견된 꽁 머니 카지노 3 만 파일과 동일하게 XML 매크로를 사용하도록 유도하는 안내 문구를 확인하실 수 있습니다.

[그림 4] 매크로 사용을 유도하는 꽁 머니 카지노 3 만 Excel 파일 내용

보안 경고를 무시하고 '콘텐츠 사용'을 클릭해 XML 매크로를 실행하면 엑셀에 작성된 코드를 통해 꽁 머니 카지노 3 만 파일이 사용자 PC로 다운로드됩니다.

꽁 머니 카지노 3 만파일을 다운로드하는 링크는 엑셀 숨김시트에 숨겨져 있으며, 다음과 같이 Windows Installer 프로그램을 실행하는 다양한 명령어를 확인하실 수 있습니다.

[그림 5] Excel 숨김 시트 화면

최종 꽁 머니 카지노 3 만코드는 작성된 2가지 링크를 통해 나누어 다운로드가 진행되며, 이는 1차 다운로드 파일에서 백신 검사를 통해 최종 페이로드 탐지를 우회하기 위함으로 보입니다.

이번에 수집된 Word 파일 또한 파일을 열어보면, 기존의 꽁 머니 카지노 3 만 Excel 파일과 동일하게 XML 매크로를 사용하도록 유도하는 안내 문구를 확인하실 수 있습니다.

[그림 6] 매크로 사용을 유도하는 꽁 머니 카지노 3 만 Word 파일 내용

꽁 머니 카지노 3 만 파일은 아래의 명령어로 C&C에서 'lsadat1'라는 꽁 머니 카지노 3 만 파일을 내려받고 최종 꽁 머니 카지노 3 만 페이로드(PE) 다운을 시도하는데, 금일 수집한 꽁 머니 카지노 3 만 샘플에서는 최종 꽁 머니 카지노 3 만코드를 제대로 다운로드하지 못하는 것으로 나타났습니다.

[그림 7] 꽁 머니 카지노 3 만 설치파일을 다운로드하는 명령어 내용

하지만 언제 공격자가 제대로 실행되는 꽁 머니 카지노 3 만파일을 유포할지 모르기 때문에, 출처가 불분명한 사용자에게서 온 메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 꽁 머니 카지노 3 만 여부를 확인해 주시기 바랍니다.

금일 발견된 꽁 머니 카지노 3 만 샘플과 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.

현재 알약에서는 해당 꽁 머니 카지노 3 만 파일에 대해Trojan.Downloader.XLS.gen으로 탐지 중에 있습니다.