장학금 신청 관련 내용으로 유포중인 Qbot 악성코드 발견!

안녕하세요. ESRC(시큐리티 대응센터)입니다.

 

최근 국내 유명 대학교 교직원 장학금 신청 관련 내용으로 피싱 메일이 다량 유포되고 있어 관련자들의 각별한 주의가 필요합니다.

[그림 1-1] 장학금 신청 관련 내용으로 위장한 피싱 메일

 

 

5월 13일 오후 11시 43분 경에 수신된 것으로 확인되는 메일들은 'Re: 00대학교 교직원 장학금 장학생 모집 신청서 예술공학부', 'Re: 00대학교 교직원 장학금 신청서 (20163100 김한빈)', 'Re: 00대학교 교직원 장학금 신청서-20196231 양란아'와 같은 제목을 사용하며, 본문에는 학생의 이름, 전공과 학번 등을 포함해 장학금을 신청한다는 내용을 담고 있습니다. 본문은 영어와 한글 버전이 모두 작성되어 있어, 수신자의 국적에 관계 없이 첨부파일을 열어보도록 유도했습니다. 메일에 사용된 발신 주소 도메인은 실제로 존재하는 스페인, 캐나다 등의 해외 기업으로 신뢰성을 높였습니다. 수신자 도메인은 모두 국내 유명 포털사이트 계정을 사용했습니다. 

 

 

[그림 1-2] 5월 14일 추가 발견된 피싱 메일

 

 

금일(5월 14일) 오전 12시 49분 경, 'Re: EXCAVATOR PARTS SUPPLIER in KOREA - DSCO'라는 제목의 피싱 메일이 추가로 발견되었습니다. 발신 주소 역시 실제 존재하는 웹 디자인 기업이며, 수신자 도메인 또한 위 3개의 메일과 동일하게 국내 유명 포털사이트 계정을 사용했습니다. 

[그림 2] 첨부파일 내 포함된 엑셀 파일

 

 

발견된 4개의 메일에는 공통적으로 zip 압축 파일이 포함되어 있습니다. 해당 파일들은 'Debt-Details-2065399866-05132021.zip', 'Debt-Details-2037842254-05132021.zip', 'Debt-Details-1184647712-05132021.zip', 'Debt-Details-930068589-05132021.zip' 파일명을 사용하며, 압축 파일 내에는 확장자만 변경된 액셀(xlsm) 파일이 포함되어 있습니다.

 

해당 파일 실행시, 문서 상단에는 '매크로를 사용할 수 없도록 설정했습니다.'라는 문구를 포함한 보안 경고창이 나타나며, 문서 열람 및 편집을 위해 사용자에게 '편집 사용' 버튼 및 '콘텐츠 사용' 버튼을 클릭하도록 유도합니다. 

 

해당 내용은 영문으로 작성되어 있으며, ‘Microsoft Office과 관련 없는’ 애플리케이션을 사용하여 제작된 문서라는 내용이 본문 상단에 나타납니다. 

 

 

[그림 3] 엑셀 파일에 숨겨진 시트와 매크로 구문

 

 

엑셀 파일은 위 그림과 같이 총 6개의 숨겨진 Sheet가 존재하며 각 Sheet마다 매크로 구문이 작성되어 있습니다.

 

매크로 동작 시 문서 내에 기재 된 C2 서버를 사용하여 아래 URL에서 동일한 파일 (lertio.cersw, lertio.cersw1, lertio.cersw2)들을 다운로드 받습니다.

 

* 발견된 4개 메일의 첨부파일 모두 동일한 C2 서버를 사용합니다.

 

다운로드 형태는 ‘hxxp://c2서버/[=NOW()]&".dat’로, 분석 당시 아래 주소가 확인되었습니다.

 

hxxp://195.123.221.179/44330.4968458333.dat (lertio.cersw)

hxxp://188.165.62.17/44330.4968458333.dat (lertio.cersw1)

hxxp://185.183.98.29/44330.4968458333.dat (lertio.cersw2)

[그림 4] 유효한 디지털 서명이 사용된 화면

 

 

lertio.cersw 속성을 살펴보면, 유효한 디지털 서명이 사용된 것을 볼 수 있습니다. 'PARTYNET LIMITED'라는 이름과 'anne.doylel@yahoo.com' 도메인을 사용했고, 서명 시간은 2021년 5월 14일 금요일 오전 9시 24분 경으로 나타납니다. 또한 Process 생성, Mutex 생성, Process 인젝션, Directory 생성, File 생성/복사/이름 변경, File, Directory 속성 변경, Registry 생성, Registry 값 설정, Network 접속 등의 동작을 실행합니다.

 

확인 결과, 해당 파일은 QakBot(이하 Qbot) 악성코드로 확인되었습니다. 'QBot'는 사용자 PC 정보를 수집 및 전송 후 C&C에서 공격자 명령에 따라 다운로더, 인젝션 등 추가 악성 행위를 수행하는 악성코드입니다. 특징적으로 주목할 만한 기능에는 백신 프로세스에 따라 악성코드 설치 및 실행 방법이 다르며, 페이로드에서 약 151개의 C&C 목록을 사용한다는 점이 있습니다. 또한 C&C에서 브라우저, 뱅킹 정보 탈취 관련 추가 모듈 등을 다운받는 것으로 알려져 있어, 특히 기업체에서 감염이 되는 경우 큰 피해가 발생할 가능성이 높습니다.

 

따라서 악성코드로부터 감염을 예방하기 위해서는 출처가 불분명한 메일에 있는 첨부파일에 접근하지 않도록 주의해야 합니다.

 

현재 알약에서는 해당 악성 코드를 'Trojan.Downloader.XLS.gen', 'Trojan.Agent.QakBot' 탐지 명으로 진단하고 있으며, 관련 IoC 및 상세 분석보고서는 Threat Inside 웹서비스 구독을 통해 확인이 가능합니다.