방송국 사례비 지급을 사칭한 피싱 메일 주의
Contents
방송국 사례비 지급으로 위장한 바로가기(.lnk) 파일이 유포되고 있어, 이에 대한 각별한 주의와 철저한 보안 조치가 요구된다. 이러한 파일은 대부분 메일의 첨부파일 유포되고 있으며, 메일 수신자의 개인 정보나 금융 정보 등을 탈취하여 피해를 입히기 때문에, 이메일 출처를 확인하고, 의심스러운 첨부 파일이나 링크를 클릭하지 않는 등의 예방 조치를 취해야 한다.
[그림 1] 사례비 지급 서식으로 위장한 문서 바로가기 파일
○ 상세 분석
실행 시 DropBox API를 이용하기 위해 Token 인증을 시도 ※ Token 인증 주소 : hxxps://api.dropboxapi.com/oauth2/token
[그림 2] Token 인증 코드
Token 인증 후 공격자의 Dropbox에서 "/step3/ps.bin" 경로에 암호화된 PowerShell 코드를 읽어와 AES로 복호화 후 실행
[그림 3] 암호화된 PowerShell 코드 다운로드 후 실행
복호화된 ps.bin 파일은 동일한 방법으로 DropBox에서 "/step3/r_enc.bin" 경로에 암호화된 악성코드를 읽어옴.
[그림 4] r_enc.bin 다운로드
r_enc.bin 파일은 GZip 방식으로 압축 해제 후 Invoke 함수를 통해 메모리 내에서 makeProbe1 함수 실행
[그림 5] r_enc.bin 파일 압축 해제 후 makeProbe1 함수 실행
복호화된 r_enc.bin의 makeProbe1 함수는 version103.vbs 파일을 생성 후 실행
[그림 6] makeProbe1 코드
생성 경로
MD5
%Appdata%MicrosoftWindowsTemplatesversion103.vbs
66498FFE232DA5691E0FB23D2B00C933
[표 1] version103.vbs 파일 정보
실행된 version103.vbs …
[그림 1] 사례비 지급 서식으로 위장한 문서 바로가기 파일
○ 상세 분석
실행 시 DropBox API를 이용하기 위해 Token 인증을 시도 ※ Token 인증 주소 : hxxps://api.dropboxapi.com/oauth2/token
[그림 2] Token 인증 코드
Token 인증 후 공격자의 Dropbox에서 "/step3/ps.bin" 경로에 암호화된 PowerShell 코드를 읽어와 AES로 복호화 후 실행
[그림 3] 암호화된 PowerShell 코드 다운로드 후 실행
복호화된 ps.bin 파일은 동일한 방법으로 DropBox에서 "/step3/r_enc.bin" 경로에 암호화된 악성코드를 읽어옴.
[그림 4] r_enc.bin 다운로드
r_enc.bin 파일은 GZip 방식으로 압축 해제 후 Invoke 함수를 통해 메모리 내에서 makeProbe1 함수 실행
[그림 5] r_enc.bin 파일 압축 해제 후 makeProbe1 함수 실행
복호화된 r_enc.bin의 makeProbe1 함수는 version103.vbs 파일을 생성 후 실행
[그림 6] makeProbe1 코드
생성 경로
MD5
%Appdata%MicrosoftWindowsTemplatesversion103.vbs
66498FFE232DA5691E0FB23D2B00C933
[표 1] version103.vbs 파일 정보
실행된 version103.vbs …
IoC
66498FFE232DA5691E0FB23D2B00C933
7649972A60A64258C3D484CCA7D6464D
DCE864EABFBD6445682A4671A2FEE1A9
http://dddon.kr/doc/nase/docx/123.docx
https://api.dropboxapi.com/oauth2/token
7649972A60A64258C3D484CCA7D6464D
DCE864EABFBD6445682A4671A2FEE1A9
http://dddon.kr/doc/nase/docx/123.docx
https://api.dropboxapi.com/oauth2/token