‘보안 메일’도 안심 금물! 카드사 사칭 악성 파일 유포 중
Contents
‘보안 메일’도 안심 금물! 카드사 사칭 악성 파일 유포 중
안랩이 최근 국내 유명 카드사 보안 메일로 위장한 악성 파일이 유포되는 정황을 확인했다. 이번 공격은 과거 김수키(Kimsuky) 그룹의 패스워드 파일 위장 악성 LNK 유포 사례와 유사한 흐름을 보이지만, 최초 LNK 파일에서 실행되는 명령어가 변경된 것이 특징이다. 특히 감염 환경의 보안 서비스 동작 여부에 따라 추가 파일 실행 및 악성 행위 방식이 달라지는 구조를 보였다. 이번 사례의 주요 동작과 사용자 주의사항을 살펴보자.
보안 서비스 동작 여부에 따라 달라지는 악성 행위
악성 LNK 파일에는 파워셸(PowerShell)을 통해 mshta 명령을 실행하는 구문이 포함돼 있다. 파일 실행 시 특정 주소에 존재하는 HTA 파일이 mshta.exe를 통해 실행되며, 해당 HTA 파일은 난독화된 VBScript 코드를 포함한다. 이후 정상 문서처럼 보이는 디코이 문서를 내려받아 실행해 사용자의 의심을 낮추는 흐름을 보인다.
[그림 1] 난독화된 VBScript
이후 악성코드는 Windows Defender 보안 서비스 동작 여부를 확인한 뒤, 환경에 ss따라 서로 다른 방식으로 추가 파일을 내려받고 실행한다.
Windows Defender 서비스가 동작 중인 환경에서는 Curl을 이용해 지정된 주소에서 pipe.log 파일을 …
안랩이 최근 국내 유명 카드사 보안 메일로 위장한 악성 파일이 유포되는 정황을 확인했다. 이번 공격은 과거 김수키(Kimsuky) 그룹의 패스워드 파일 위장 악성 LNK 유포 사례와 유사한 흐름을 보이지만, 최초 LNK 파일에서 실행되는 명령어가 변경된 것이 특징이다. 특히 감염 환경의 보안 서비스 동작 여부에 따라 추가 파일 실행 및 악성 행위 방식이 달라지는 구조를 보였다. 이번 사례의 주요 동작과 사용자 주의사항을 살펴보자.
보안 서비스 동작 여부에 따라 달라지는 악성 행위
악성 LNK 파일에는 파워셸(PowerShell)을 통해 mshta 명령을 실행하는 구문이 포함돼 있다. 파일 실행 시 특정 주소에 존재하는 HTA 파일이 mshta.exe를 통해 실행되며, 해당 HTA 파일은 난독화된 VBScript 코드를 포함한다. 이후 정상 문서처럼 보이는 디코이 문서를 내려받아 실행해 사용자의 의심을 낮추는 흐름을 보인다.
[그림 1] 난독화된 VBScript
이후 악성코드는 Windows Defender 보안 서비스 동작 여부를 확인한 뒤, 환경에 ss따라 서로 다른 방식으로 추가 파일을 내려받고 실행한다.
Windows Defender 서비스가 동작 중인 환경에서는 Curl을 이용해 지정된 주소에서 pipe.log 파일을 …
IoC
https://drive.google.com/uc?export=download&id=1EkyeoS********
https://drive.google.com/uc?export=download&id=1veetviG********
https://drive.google.com/uc?export=download&id=1PTs95g********
https://drive.google.com/uc?export=download&id=1veetviG********
https://drive.google.com/uc?export=download&id=1PTs95g********