국세청을 사칭한 악성 LNK 유포
Contents
AhnLab Security Emergency response Center(ASEC) 에서는 국세청을 사칭한 악성 LNK 파일이 국내 유포되고 있는 정황을 확인하였다. LNK 를 이용한 유포 방식은 과거에도 사용되던 방식으로 최근 국내 사용자를 대상으로 한 유포가 다수 확인되고 있다.
최근 확인된 악성 LNK 파일은 이메일에 첨부된 URL 을 통해 유포되는 것으로 추정된다. 자사 인프라를 통해 확인된 URL 은 아래와 같으며, “종합소득세 신고관련 해명자료 제출 안내.zip” 명의 압축 파일이 다운로드된다. 분석 당시에는 다운로드된 압축 파일 내 악성 LNK 파일과 정상 한글 문서 2개가 존재했다. 현재는 해당 URL 에서 다운로드되는 압축 파일 내 정상 한글 문서 3개만 존재하는 것으로 보아 공격자는 짧은 시간동안만 악성 파일을 유포하여 이후 분석 및 추적을 어렵게 하는 것으로 보인다.
- 다운로드 URL
hxxps://file.gdrive001[.]com/read/?cu=jaebonghouse&so=종합소득세%20신고관련%20해명자료%20제출%20안내.zip
압축 파일 내 존재하는 “국세청 종합소득세 해명자료 제출 안내.lnk” 명의 악성 LNK 파일은 약 300MB 크기의 더미 데이터가 붙어있는 형태이며 악성 파워쉘 명령어가 포함되어 있다.
파워쉘 명령어 기능으로는, 먼저 LNK 파일 내부에 존재하는 정상 한글 문서를 “국세청 종합소득세 해명자료 제출 안내.hwp” 명으로 생성 후 실행한다. …
최근 확인된 악성 LNK 파일은 이메일에 첨부된 URL 을 통해 유포되는 것으로 추정된다. 자사 인프라를 통해 확인된 URL 은 아래와 같으며, “종합소득세 신고관련 해명자료 제출 안내.zip” 명의 압축 파일이 다운로드된다. 분석 당시에는 다운로드된 압축 파일 내 악성 LNK 파일과 정상 한글 문서 2개가 존재했다. 현재는 해당 URL 에서 다운로드되는 압축 파일 내 정상 한글 문서 3개만 존재하는 것으로 보아 공격자는 짧은 시간동안만 악성 파일을 유포하여 이후 분석 및 추적을 어렵게 하는 것으로 보인다.
- 다운로드 URL
hxxps://file.gdrive001[.]com/read/?cu=jaebonghouse&so=종합소득세%20신고관련%20해명자료%20제출%20안내.zip
압축 파일 내 존재하는 “국세청 종합소득세 해명자료 제출 안내.lnk” 명의 악성 LNK 파일은 약 300MB 크기의 더미 데이터가 붙어있는 형태이며 악성 파워쉘 명령어가 포함되어 있다.
파워쉘 명령어 기능으로는, 먼저 LNK 파일 내부에 존재하는 정상 한글 문서를 “국세청 종합소득세 해명자료 제출 안내.hwp” 명으로 생성 후 실행한다. …
IoC
20f0e8362782c7451993e579336f2f3e
2d0747533d4d3f138481c4c4cda9ea1e
560e5977e5e5ce077adc9478cd93c2ac
7725d117d0bd0a7a5fb8ef101b019415
9c3eef28b4418c40a7071ddcba17f0e8
b5f698fb96835d155fbcc1ccd4f4b520
ca11ba5e641156ff72400e7f5e103aee
http://filehost001.com/list.php
http://filehost001.com/upload.php
https://file.gdrive001.com/read/?cu=jaebonghouse&so=
https://file.gdrive001.com/read/get.php?cu=ln3&so=xu6502
2d0747533d4d3f138481c4c4cda9ea1e
560e5977e5e5ce077adc9478cd93c2ac
7725d117d0bd0a7a5fb8ef101b019415
9c3eef28b4418c40a7071ddcba17f0e8
b5f698fb96835d155fbcc1ccd4f4b520
ca11ba5e641156ff72400e7f5e103aee
http://filehost001.com/list.php
http://filehost001.com/upload.php
https://file.gdrive001.com/read/?cu=jaebonghouse&so=
https://file.gdrive001.com/read/get.php?cu=ln3&so=xu6502