국내 기업, 기관을 대상으로 대량 유포중인 송장/인보이스 사칭 악성 이메일 주의!

안녕하세요?

이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 

2019년 02월 19일 송장 혹은 인보이스 내용처럼 위장한 악성 이메일이 국내 기업과 기관 등을 대상으로 대량 확산되고 있어 사용자들의 각별한 주의가 필요합니다. 

ESRC에서는 지난 14일에 이와 유사한 초기 공격 사례를 공개해 드린 바 있는데, 이번 공격도 같은 위협의 연장선으로 보고 있습니다.

유출된 소스코드 기반으로 제작된 악성코드 유포 주의 (2019.02.14)

▶ https://blog.alyac.co.kr/2125

실제 유포된 일부 이메일을 살펴보면 아래와 같이 한글로 된 발신자 명과 한국 웹 사이트 도메인 계정 등이 악용되었습니다.

얼핏 보면 실제 한국에서 보내진 이메일로 오해할 수 있을 만큼 나름 정교하게 만들어져 있습니다.

[그림 1] 송장을 사칭한 악성 이메일 화면

악성 이메일 본문에는 간단한 서명내용과 '송장_xxx' 혹은 '인보이스 xxx' 파일명을 가진 'doc' 혹은 'xls' 파일이 첨부되어 있습니다. 

또한, 이번 악성 이메일 중에 일부는 수신된 날짜가 2018년 10월 16일로 표기된 경우가 있는데, 실제 이메일 헤더를 비교해 본 결과 수신된 날짜는 조작된 것으로 확인되었습니다.

[그림 2] 이메일 헤더의 발신날짜 비교 화면

악성 이메일 수신자가 첨부되어 있던 문서파일을 열람할 경우 아래와 같이 '보안 경고' 메시지와 함께 매크로 실행을 유도하게 됩니다. 

만약, 이용자가 [콘텐츠 사용] 버튼을 클릭하게 되면 파일 내부에 포함된 악성 명령어가 작동하게 됩니다.

최근 악성 매크로 기능을 이용한 사이버 공격이 지속적으로 증가하고 있으므로, 이메일 등으로 수신한 MS 오피스 문서파일에서 [콘텐츠 사용] 활성화를 유도할 경우 보안위협에 노출될 위험성이 높습니다.

[그림 3] 악성 매크로가 포함된 doc 문서파일 실행 화면

악성 문서에는 최대한 악성 매크로를 실행하도록 하기 위해 한글로 표현된 본문을 보여주게 됩니다.

그런데 이 표현에는 다소 어눌하고 부자연스런 한글 내용을 담고 있습니다.

Microsoft Office 와 관련이없는 응용 프로그램을 사용하여 작성된 문서 보기/편집하려면 다음 단계를 수행하십시오.

위의 노란색 막대에서 수정 버튼 사용을 클릭하십시오.

수정을 활성화 한 후 위의 노란색 막대에서 콘텐츠 사용 버튼을 클릭하십시오.

[그림 4] excel 파일 내에 포함되어 있는 악성 매크로 명령어 화면

전체적인 동작 방식은 기존에 이스트시큐리티에서 작성했었던 유출된 소스코드 기반으로 제작된 악성코드 유포 주의 포스팅 내용과 동일하게  185.17.120.235 서버에 접속하여 악성 파일을 내려받고, 추가로 최종 페이로드인 'wsus.exe' 악성파일을 내려받습니다. 

[그림 5] 악성 exe 파일에 포함된 유효한 디지털서명

하지만 이 전에 포스팅 했던 인보이스를 위장한 악성메일보다 더 진화한 점은, 악성 exe 파일에 유효한 디지털 서명을 포함하고 있다는 사실입니다. 

악성파일의 속성정보에는 'IBM Controler System Security Control' 내용을 넣어 마치 정상적인 프로그램처럼 위장하는데 악용하였습니다.

이렇게 유효한 디지털 서명을 추가하면, 마치 신뢰할 수 있는 정상 프로그램처럼 위장해 화이트리스트 기반의 보안제품을 우회하는데 악용될 수 있습니다.

기업 및 기관 보안 담당자 분들께서는 c2 서버인 185.17.120.235 차단을 통해 피해를 최소화 해주시고, 사용하시는 백신프로그램을 항상 최신으로 유지해 주시기 바랍니다. 

현재 알약에서는 해당 악성코드에 대해 

Trojan.Downloader.W97M.Gen, Trojan.Downloader.XLS.gen Backdoor.Agent.RAbased 등으로 탐지 중에 있습니다 .