국내 금융 기업 대상으로 유포 중인 악성 LNK
Contents
AhnLab Security Emergency response Center(ASEC) 에서는 국내 금융 기업을 대상으로 악성 LNK 파일이 유포되고 있는 정황을 확인하였다. LNK 파일을 이용한 공격은 과거부터 꾸준하게 이용되던 방식으로 사용자들의 주의가 필요하다.
최근 확인된 LNK 파일은 악성 URL 이 첨부된 이메일을 통해 유포 중인 것으로 추정된다. URL 은 아래와 같으며, “금융당국 요청에 따른 프로젝트 정보 확인 요청의 건.zip” 명의 압축 파일(ZIP)이 다운로드 된다. 현재는 정상 문서만 포함된 압축 파일이 다운로드되고 있어, 공격자는 짧은 시간 동안만 악성 파일을 유포하여 분석 및 추적을 어렵게 하는 것으로 보인다.
- 다운로드 URL
hxxps://cumasufitness[.]com/wp-includes/js/inc/?aEFrmRUBjZHtF=cfv0wxmIIUr%2BJAwMxATk9fG%2B8bF2B4KmBd7fe3KYw594YW%2B4GMISiUDCi6d3o8rjLWk
vIZyD%2BDGFejKC5K%2BM2jACfRH%2Baq6HxTGuHd0ZXc8yANAvFQ3Zduafgo1P2JU%2FBSN1e3uNA6w%3D
유포 중인 악성 압축 파일의 경우, 내부에 악성 LNK 파일과 정상 PDF 파일이 존재한다.
정상 PDF 파일은 가상 화폐 관련 프로젝트 정보 업데이트를 요청하고 있으며, 사용자의 악성 LNK 파일 실행을 유도하고 있다.
악성 LNK 파일은 일반적인 사용자가 봤을 때 엑셀 파일로 착각하기 쉽다. 하지만 LNK 파일 내부에는 악성 파워쉘 명령어가 포함되어 있으며, 파일의 전체 크기는 약 300MB 이다.
파워쉘 명령어는 난독화된 형태로, 기존에 유포되던 유형보다 난독화 정도가 더욱 복잡해졌다. 변수명에 특수 문자를 …
최근 확인된 LNK 파일은 악성 URL 이 첨부된 이메일을 통해 유포 중인 것으로 추정된다. URL 은 아래와 같으며, “금융당국 요청에 따른 프로젝트 정보 확인 요청의 건.zip” 명의 압축 파일(ZIP)이 다운로드 된다. 현재는 정상 문서만 포함된 압축 파일이 다운로드되고 있어, 공격자는 짧은 시간 동안만 악성 파일을 유포하여 분석 및 추적을 어렵게 하는 것으로 보인다.
- 다운로드 URL
hxxps://cumasufitness[.]com/wp-includes/js/inc/?aEFrmRUBjZHtF=cfv0wxmIIUr%2BJAwMxATk9fG%2B8bF2B4KmBd7fe3KYw594YW%2B4GMISiUDCi6d3o8rjLWk
vIZyD%2BDGFejKC5K%2BM2jACfRH%2Baq6HxTGuHd0ZXc8yANAvFQ3Zduafgo1P2JU%2FBSN1e3uNA6w%3D
유포 중인 악성 압축 파일의 경우, 내부에 악성 LNK 파일과 정상 PDF 파일이 존재한다.
정상 PDF 파일은 가상 화폐 관련 프로젝트 정보 업데이트를 요청하고 있으며, 사용자의 악성 LNK 파일 실행을 유도하고 있다.
악성 LNK 파일은 일반적인 사용자가 봤을 때 엑셀 파일로 착각하기 쉽다. 하지만 LNK 파일 내부에는 악성 파워쉘 명령어가 포함되어 있으며, 파일의 전체 크기는 약 300MB 이다.
파워쉘 명령어는 난독화된 형태로, 기존에 유포되던 유형보다 난독화 정도가 더욱 복잡해졌다. 변수명에 특수 문자를 …
IoC
e3eeeebb117b7c3128d87b6e027bd85d
http://shutss.com/list.php
http://shutss.com/upload.php
https://cumasufitness.com/wp-includes/js/inc/?aEFrmRUBjZHtF=cfv0wxmIIUr%2BJAwMxATk9fG%2B8bF2B4KmBd7fe3KYw594YW%2B4GMISiUDCi6d3o8rjLWk
https://cumasufitness.com/wp-includes/js/inc/?aEFrmRUBjZHtF=cfv0wxmIIUr%2BJAwMxATk9fG%2B8bF2B4KmBd7fe3KYw594YW%2B4GMISiUDCi6d3o8rjLWkvIZyD%2BDGFejKC5K%2BM2jACfRH%2Baq6HxTGuHd0ZXc8yANAvFQ3Zduafgo1P2JU%2FBSN1e3uNA6w%3D
https://thevintagegarage.com/plugins/content/src/inc/get.php?ra=iew&zw=lk0100
http://shutss.com/list.php
http://shutss.com/upload.php
https://cumasufitness.com/wp-includes/js/inc/?aEFrmRUBjZHtF=cfv0wxmIIUr%2BJAwMxATk9fG%2B8bF2B4KmBd7fe3KYw594YW%2B4GMISiUDCi6d3o8rjLWk
https://cumasufitness.com/wp-includes/js/inc/?aEFrmRUBjZHtF=cfv0wxmIIUr%2BJAwMxATk9fG%2B8bF2B4KmBd7fe3KYw594YW%2B4GMISiUDCi6d3o8rjLWkvIZyD%2BDGFejKC5K%2BM2jACfRH%2Baq6HxTGuHd0ZXc8yANAvFQ3Zduafgo1P2JU%2FBSN1e3uNA6w%3D
https://thevintagegarage.com/plugins/content/src/inc/get.php?ra=iew&zw=lk0100