[긴급] TA505조직, KEB하나은행 보안메일을 사칭한 해킹 이메일 다량 유포 중

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

현재 하나은행 보안메일을 위장한 악성메일이 유포되고 있어 사용자들의 각별한 주의가 필요합니다. 

[그림1] KEB하나은행 보안메일을 위장한 악성 메일

해당 메일은 KEB 하나은행의 보안메일을 위장하고 있으며, html 파일이 첨부되어 있습니다. 

[그림2] 하나은행 보안메일 위장 html

사용자가 해당 html 파일을 클릭하면, 정상적인 이메일 보안메일과 동일하게 생년월일 6자리를 입력하라는 페이지가 뜨며, 패스워드 입력 시 xls 문서가 내려옵니다. 

[그림3] 하나은행 보안메일 위장 html에 패스워드 입력 시 엑셀 다운로드

이렇게 다운로드 된 엑셀파일 안에는 악성 메크로가 포함되어 있습니다. 

[그림4] 악성 매크로가 포함된 엑셀파일 

만약 사용자가 '콘텐츠 사용' 버튼을 눌러 매크로를 활성한다면, Microsoft Office Components 설치 화면이 뜹니다. 

[그림5] 가짜 Microsoft Office Components 설치 화면

하지만 해당 화면은 가짜 화면으로, 실제로는 백그라운드에서 ‘%appdata%\\Microsoft\Windows\Templates\' 경로에 ‘outgoing.dll’ 악성 모듈 드롭 및 ‘glitch’ 파라메터로 ‘EXCEL.exe’ 프로세스에 로드합니다.

[그림6] 엑셀에 포함되어 있는 악성 메크로

outgoing.dll

드롭되는 outgoing.dll 파일은 다음과 같은 기능들이 포함되어 있습니다. 

1. 정보 전송 

C&C로 ‘컴퓨터 이름, 사용자 이름, 운영체제 정보, 현재 실행 중인 프로세스 이름’ 등의 시스템 정보를 전송합니다.

[그림7] 감염 PC 정보수집 코드

2. 다운로더

C&C의 명령 및 데이터에 따라 프로세스에 인젝션되어 실행되거나 임시폴더에 파일 드롭 및 실행이 이루어집니다. 다운로드되는 파일에 따라 2차적인 피해가 발생될 수 있어 주의가 필요합니다.

2-1. 인젝션으로 실행

[그림8] 인젝션 코드 일부

2-2. 임시폴더에 파일 드롭 및 실행

[그림9] 파일 드롭 및 실행

지난 10월 22일 발견된 악성파일 “TA505 조직, 회계법인 송장으로 위장한 악성 이메일 유포 증가“과 비교하여 보면 사칭한 유포지, 악성 파일을 드롭하는 링크, 매크로 등 바뀐 부분도 있으나 사용자 정보를 전송하고 다운로드를 수행하는 최종 페이로드의 Dll 코드는 완전히 동일합니다. 이전 코드와 비교한 부분은 아래의 표로 확인할 수 있습니다. 

 

	10월22일 TA505 악성코드	금일 발견된 TA505 악성코드
유포 방법	회계법인 사칭 이메일	KEB하나은행 사칭 이메일
발신자	editor@fccboonsboro.org	frank.gentle@eps.za.com
첨부 파일	드롭박스 링크	Html 파일
파일 내용
악성 XLS 다운로드 방법	클릭 후 파일 다운로드	비밀번호 입력 후 파일 다운로드 (비밀번호 비교 로직 없음)
악성 XLS 다운로드 주소	dl2.dropbox-er.com/?CSQdjTX	attach1.mail.daumcdnr.com/download.php?7383hHDIEHDGjdjudhdhy6364859HDJDHHDHjdejwlls
악성 XLS 이름	N98300_10.21.19.xls	1219190024759XLS.xls
악성 매크로 코드 비교
드롭된 DLL 이름	libDxdiag1.dll	outgoing.dll
C&C	windows-service-en[.]com/f2121	ms-en-microsoft[.]com/10101010
DLL 코드 비교

해당 악성메일이 현재 대량으로 유포되고 있기 때문에, 사용자들의 각별한 주의를 요하고 있습니다. 

현재 알약에서는 해당 악성코드에 대해 Trokan.Dropper.X97M, Trojan.Agent,282624T, Trojan.Downloader.HTML.Agent로 탐지중에 있으며, 관련하여 더 자세한 정보는 ThreatInside에서 확인하실 수 있습니다. 

※ 관련글 바로가기

▶ TA505 조직이 유포중인 악성메일 주의! (2019.12.19)

▶ TA505 조직, 회계법인 송장으로 위장한 악성 이메일 유포 증가 (2019.10.22)

▶ TA505조직, 악성 이메일을 활용해 한국 공격 재개 (2019.10.17)

▶ TA505조직, 스캔파일로 위장한 악성메일 대량 유포중! (2019.08.09)

▶ TA505 조직, 국내 항공사 전자항공권 사칭 해킹 메일 유포 주의 (2019.07.25)

▶ TA505 그룹, 송금증 내용을 위장한 악성 피싱메일 대량 유포 중! (2019. 06. 20)

▶ TA505 그룹, 거래내역서, 견적서, 영수증 등으로 사칭해 Ammyy RAT 유포 (2019.06.03)

▶ TA505 그룹, 국세청 홈택스 사칭해 악성 메일 대량 유포 중! (2019.05.30)

▶ TA505 그룹, 국세청 사칭해 악성 메일 대량 유포 중! (2019.05.28)

▶ TA505, 반출 신고서, 출근부 등을 위장한 새로운 악성 파일 유포중! (2019.05.21)

▶ TA505조직, 다양한 피싱 메일 형태로 악성 설치파일 유포 주의! (2019.05.16)

▶ TA505조직, 또다시 엑셀 문서로 위장한 악성 이메일 유포해 (2019.05.08)

▶ TA505 조직, 요청자료 엑셀문서처럼 위장해 한국에 악성 이메일 유포 중 (2019.05.02)

▶ 클롭(Clop) 랜섬웨어 유포 조직이 진행하는 기업 타깃 대량공격 주의! (2019.04.24)

▶ Trojan.Ransom.Clop 악성코드 분석 보고서 (2019.03.22)

▶ 유출된 소스코드 기반으로 제작된 악성코드 유포 주의 (2019.02.14)