공공기관을 사칭하여 유포 중인 악성코드 주의(LNK)
Contents
AhnLab Security Emergency response Center(ASEC)은 악성 바로가기(*.lnk) 파일이 공공기관을 사칭하여 유포되고 있음을 확인하였다. 공격자는 보안 메일로 위장한 악성 스크립트(HTML) 파일을 메일에 첨부하여 유포하는 것으로 보인다. 주로 통일, 안보 관계자를 대상으로 하며 정상 문서처럼 보이기 위해 사례비 지급에 관한 내용으로 위장한 것이 특징이다. 악성코드의 동작 방식 및 C2 형식이 이전 공유한 게시글[1] [2]과 유사한 것으로 보아 동일한 공격자로 추정된다.
해당 유형은 사용자 정보를 유출 및 추가 악성코드를 다운로드하며 간략한 동작 과정은 다음과 같다.
메일에 첨부된 HTML 파일 실행 시 다음과 같이 보안메일을 위장한 페이지 창이 생성된다. 메일에는 실제 보안 메일처럼 보이기 위해 비밀번호를 함께 전송했을 것으로 보이며, 실제로는 해당 칸을 입력하지 않고 확인 버튼을 클릭하여도 본문 내용을 확인할 수 있다.
본문에는 공공기관을 사칭한 내용이 작성되어 있고 관련된 제목의 첨부 파일이 존재한다.
각 압축 파일에는 사례비 양식의 정상 한글 문서와 함께 악성 바로가기(LNK) 파일이 포함되어 있다.
확인된 악성 LNK의 파일명은 다음과 같다.
|파일명|
|202310 이** 교수님 통일부 브라운백 런치 중국 문제 관련 강의의뢰서(초안).hwp.lnk|
|231025(통일부 통일정책실)윤석열 정부의 대북 정책 관련 1.5트랙 …
해당 유형은 사용자 정보를 유출 및 추가 악성코드를 다운로드하며 간략한 동작 과정은 다음과 같다.
메일에 첨부된 HTML 파일 실행 시 다음과 같이 보안메일을 위장한 페이지 창이 생성된다. 메일에는 실제 보안 메일처럼 보이기 위해 비밀번호를 함께 전송했을 것으로 보이며, 실제로는 해당 칸을 입력하지 않고 확인 버튼을 클릭하여도 본문 내용을 확인할 수 있다.
본문에는 공공기관을 사칭한 내용이 작성되어 있고 관련된 제목의 첨부 파일이 존재한다.
각 압축 파일에는 사례비 양식의 정상 한글 문서와 함께 악성 바로가기(LNK) 파일이 포함되어 있다.
확인된 악성 LNK의 파일명은 다음과 같다.
|파일명|
|202310 이** 교수님 통일부 브라운백 런치 중국 문제 관련 강의의뢰서(초안).hwp.lnk|
|231025(통일부 통일정책실)윤석열 정부의 대북 정책 관련 1.5트랙 …
IoC
0040aa9762c2534ac44d9a6ae7024d15
165.154.230.24
209ac4185dfc1e4d72c035ecb7f98eac
40b7c3bced2975d70359a07c4f110f18
5E5A87D0034E80E6B86A64387779DC2E
64dee04b6e6404c14d10971adf35c3a7
b70bc31b537caf411f97a991d8292c5a
d00aa4b1a3cd9373d49c023580711170
de7cd0de5372e7801dab5aafd9c19148
eb614c99614c3365bdc926a73ef7a492
fb5aec165279015f17b29f9f2c730976
http://165.154.230.24:8020
165.154.230.24
209ac4185dfc1e4d72c035ecb7f98eac
40b7c3bced2975d70359a07c4f110f18
5E5A87D0034E80E6B86A64387779DC2E
64dee04b6e6404c14d10971adf35c3a7
b70bc31b537caf411f97a991d8292c5a
d00aa4b1a3cd9373d49c023580711170
de7cd0de5372e7801dab5aafd9c19148
eb614c99614c3365bdc926a73ef7a492
fb5aec165279015f17b29f9f2c730976
http://165.154.230.24:8020