국내 유명 메신저 프로그램으로 위장하여 유포 중인 Amadey Bot
Contents
2022년 10월 17일인 오늘, KISA로부터 ‘카카오 서비스 장애 이슈를 악용한 사이버 공격에 대한 주의 권고’ 보안 공지가 게시되었는데, 해당 내용에 따르면 이메일을 통해 카카오톡 설치파일(KakaoTalkUpdate.zip 등)로 위장하여 유포되고 있음을 알 수 있다.
- KISA 보안 공지 참고 URL : https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=66958
ASEC 분석팀은 관련 샘플을 모니터링하는 과정에서 해당 류로 보이는 파일을 확보하였다. 해당 악성코드는 유포되는 파일명과 아이콘이 실제 메신저 프로그램과 동일하여 일반 사용자들로 하여금 실행을 유도한다.
메일에 첨부되었을 것으로 보이는 kakaotalk_update.exe 악성코드 초기 실행 시, 해당 프로세스를 재귀 실행하여 자기 자신 프로세스에 인젝션한다. 인젝션 된 프로세스는 C2 서버에 접속하여, 추가 악성코드가 압축된 zip파일을 공용 폴더 경로에 다운로드 한 뒤 아래의 명령을 실행한다.
- cmd.exe /c rundll32.exe “C:\users\public\srms.dat” Run
- cmd.exe /C timeout /t 5 /nobreak & Del /f /q “C:\Users\[사용자명]\Desktop\kakaotalk_update.exe”
srms.dat 파일명의 다운로드 및 실행된 파일은 [그림3] 드롭퍼(Dropper) 형태로, AmadeyBot 악성코드로 동작하는 DLL을 생성한다.
이 후, rundll32.exe를 활용하여 생성된 tapi32.dll 파일명의 Amadey Bot을 아래와 같이 실행시키고 자가삭제한다.
- rundll32.exe “C:\users\public\348520\tapi32.dll”,Run
- rundll32.exe “C:\users\public\348520\tapi32.dll”,Start
- cmd.exe /C timeout /t 5 /nobreak & …
- KISA 보안 공지 참고 URL : https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=66958
ASEC 분석팀은 관련 샘플을 모니터링하는 과정에서 해당 류로 보이는 파일을 확보하였다. 해당 악성코드는 유포되는 파일명과 아이콘이 실제 메신저 프로그램과 동일하여 일반 사용자들로 하여금 실행을 유도한다.
메일에 첨부되었을 것으로 보이는 kakaotalk_update.exe 악성코드 초기 실행 시, 해당 프로세스를 재귀 실행하여 자기 자신 프로세스에 인젝션한다. 인젝션 된 프로세스는 C2 서버에 접속하여, 추가 악성코드가 압축된 zip파일을 공용 폴더 경로에 다운로드 한 뒤 아래의 명령을 실행한다.
- cmd.exe /c rundll32.exe “C:\users\public\srms.dat” Run
- cmd.exe /C timeout /t 5 /nobreak & Del /f /q “C:\Users\[사용자명]\Desktop\kakaotalk_update.exe”
srms.dat 파일명의 다운로드 및 실행된 파일은 [그림3] 드롭퍼(Dropper) 형태로, AmadeyBot 악성코드로 동작하는 DLL을 생성한다.
이 후, rundll32.exe를 활용하여 생성된 tapi32.dll 파일명의 Amadey Bot을 아래와 같이 실행시키고 자가삭제한다.
- rundll32.exe “C:\users\public\348520\tapi32.dll”,Run
- rundll32.exe “C:\users\public\348520\tapi32.dll”,Start
- cmd.exe /C timeout /t 5 /nobreak & …
IoC
00a7588c41c5a1183f098901d30df09a
0184b0f6403420f7134a3e4a37498754
ccd5a8f11035b888a7a3de6035ac272e
https://office-download3791.com/list.php
https://rs-shop7301.com/index.php
0184b0f6403420f7134a3e4a37498754
ccd5a8f11035b888a7a3de6035ac272e
https://office-download3791.com/list.php
https://rs-shop7301.com/index.php