고지서를 위장하여 정보를 탈취하는 악성 LNK
Contents
고지서를 위장하여 정보를 탈취하는 악성 LNK
AhnLab SEcurity intelligence Center(ASEC)에서는 최근 사용자 정보를 탈취하는 악성 LNK 파일이 국내 사용자를 대상으로 유포 중인 정황을 확인하였다. 해당 유형은 가상자산 관련 데이터, 브라우저 데이터, 공인인증서, 이메일 파일 등 공격자에게 가치 있는 다양한 데이터를 수집하며, 키로깅도 수행한다.
확인된 악성 LNK 파일은 다음과 같이 고지서를 위장한 파일명을 가지고 있다.
| 지방세입 고지서.pdf.lnk |
| 성범죄자 신상정보 고지.pdf.lnk |
[표 1] 유포되는 파일명
사용자가 LNK 파일을 실행하면 공격자의 서버에서 추가 HTA 파일을 temp 폴더에 다운로드하여 실행한다. HTA 파일에는 압축파일(ZIP)과 미끼 문서(PDF)가 포함되어 있으며, 미끼 문서는 아래와 같다.
[그림 1] 고지서로 위장한 미끼 문서
압축파일(ZIP)에는 총 네 개의 파일(1.log, 2.log, 1.ps1, 1.vbs)이 존재하며, 이 중 실제 악성 행위를 수행하는 파일은 Base64로 인코딩된 파워쉘 스크립트인 1.log와 2.log이다.
[그림 2] 디코딩된 파워쉘 스크립트 일부 (좌측 : 1.log, 우측 : 2.log)
1.log는 정보 수집 및 공격자의 명령어 실행을 수행하고, 2.log는 키로깅을 수행한다. 각 파일의 함수별 기능은 다음과 같다.
| 파일 | 함수명 | 기능 |
|---|---|---|
| 1.log | UploadFile | 공격자 서버로 …
AhnLab SEcurity intelligence Center(ASEC)에서는 최근 사용자 정보를 탈취하는 악성 LNK 파일이 국내 사용자를 대상으로 유포 중인 정황을 확인하였다. 해당 유형은 가상자산 관련 데이터, 브라우저 데이터, 공인인증서, 이메일 파일 등 공격자에게 가치 있는 다양한 데이터를 수집하며, 키로깅도 수행한다.
확인된 악성 LNK 파일은 다음과 같이 고지서를 위장한 파일명을 가지고 있다.
| 지방세입 고지서.pdf.lnk |
| 성범죄자 신상정보 고지.pdf.lnk |
[표 1] 유포되는 파일명
사용자가 LNK 파일을 실행하면 공격자의 서버에서 추가 HTA 파일을 temp 폴더에 다운로드하여 실행한다. HTA 파일에는 압축파일(ZIP)과 미끼 문서(PDF)가 포함되어 있으며, 미끼 문서는 아래와 같다.
[그림 1] 고지서로 위장한 미끼 문서
압축파일(ZIP)에는 총 네 개의 파일(1.log, 2.log, 1.ps1, 1.vbs)이 존재하며, 이 중 실제 악성 행위를 수행하는 파일은 Base64로 인코딩된 파워쉘 스크립트인 1.log와 2.log이다.
[그림 2] 디코딩된 파워쉘 스크립트 일부 (좌측 : 1.log, 우측 : 2.log)
1.log는 정보 수집 및 공격자의 명령어 실행을 수행하고, 2.log는 키로깅을 수행한다. 각 파일의 함수별 기능은 다음과 같다.
| 파일 | 함수명 | 기능 |
|---|---|---|
| 1.log | UploadFile | 공격자 서버로 …
IoC
https://nid-naveroup.servepics.com/docs/revenue.zip
1b90eff0b4f54da72b19195489c3af6c
1d64508b384e928046887dd9cb32c2ac
af576449b207c0f84501863351d3b1fa
1b90eff0b4f54da72b19195489c3af6c
1d64508b384e928046887dd9cb32c2ac
af576449b207c0f84501863351d3b1fa