탈륨 조직, 2021 코로나19 대응 기부증서 사칭 스피어 피싱 공격 수행
Contents
탈륨 조직, 2021 코로나19 대응 기부증서 사칭 스피어 피싱 공격 수행
안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다.
최근 2021 코로나19 대응을 위한 기부금 영수증 발급 신청서 문서로 사칭한 해킹 공격 정황이 포착됐습니다. 이번 공격은 연말정산 시즌에 맞춰 마치 국내 특정 민간 구호협회에서 보낸 기부금 영수증 발급 신청서 이메일처럼 교묘하게 위장했습니다.
다음은 실제 공격에 사용된 이메일 화면 모습이며, 이외에도 다른 유사 공격도 진행되고 있습니다.
해당 이메일에는 '2021코로나19대응_기부증서.zip' 이름의 압축파일이 첨부돼 있습니다.
압축파일 내부에는 2개의 파일이 포함되어 있습니다.
● 2021코로나19대응_기부증서.pdf
● 다량 기부금영수증 발급 신청서_양식_개인.xlsb
'2021코로나19대응_기부증서.pdf' 파일에는 다음과 같이 기부증서 내용을 담고 있습니다.
'다량 기부금영수증 발급 신청서_양식_개인.xlsb' MS Excel 바이너리 워크시트(.xlsb) 될경을 실행할 경우 마치 보호된 파일처럼 화면을 보여주고, [콘텐츠 사용] 버튼 클릭을 유도합니다.
만약 콘텐츠 사용을 선택해 매크로 기능이 허용되면 다음과 같은 화면을 보여주면서, 공격자의 명령제어(C2) 서버로 접속해 추가 행위를 수행합니다.
이처럼 정상적인 문서 화면을 보여주어 이용자로 하여금 아무런 문제가 없는 것처럼 속이고, 악성 파일에 노출된 것을 숨기게 됩니다. 하지만 해당 컴퓨터는 백그라운드에서 공격자가 지정한 FTP 서버로 접속해 추가 명령을 시도합니다.
※ [명령제어 C2 주소]
- …
안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다.
최근 2021 코로나19 대응을 위한 기부금 영수증 발급 신청서 문서로 사칭한 해킹 공격 정황이 포착됐습니다. 이번 공격은 연말정산 시즌에 맞춰 마치 국내 특정 민간 구호협회에서 보낸 기부금 영수증 발급 신청서 이메일처럼 교묘하게 위장했습니다.
다음은 실제 공격에 사용된 이메일 화면 모습이며, 이외에도 다른 유사 공격도 진행되고 있습니다.
해당 이메일에는 '2021코로나19대응_기부증서.zip' 이름의 압축파일이 첨부돼 있습니다.
압축파일 내부에는 2개의 파일이 포함되어 있습니다.
● 2021코로나19대응_기부증서.pdf
● 다량 기부금영수증 발급 신청서_양식_개인.xlsb
'2021코로나19대응_기부증서.pdf' 파일에는 다음과 같이 기부증서 내용을 담고 있습니다.
'다량 기부금영수증 발급 신청서_양식_개인.xlsb' MS Excel 바이너리 워크시트(.xlsb) 될경을 실행할 경우 마치 보호된 파일처럼 화면을 보여주고, [콘텐츠 사용] 버튼 클릭을 유도합니다.
만약 콘텐츠 사용을 선택해 매크로 기능이 허용되면 다음과 같은 화면을 보여주면서, 공격자의 명령제어(C2) 서버로 접속해 추가 행위를 수행합니다.
이처럼 정상적인 문서 화면을 보여주어 이용자로 하여금 아무런 문제가 없는 것처럼 속이고, 악성 파일에 노출된 것을 숨기게 됩니다. 하지만 해당 컴퓨터는 백그라운드에서 공격자가 지정한 FTP 서버로 접속해 추가 명령을 시도합니다.
※ [명령제어 C2 주소]
- …
IoC
23.106.160.32
ftp://mufasa:[email protected]/forbaby.png
ftp://mufasa:[email protected]:21/forbaby.png
http://kvz.factorgpu.com
http://kvz.factorgpu.com/forbaby.png
http://kvz.factorgpu.com:21/forbaby.png
http://search.greenulz.com
ftp://mufasa:[email protected]/forbaby.png
ftp://mufasa:[email protected]:21/forbaby.png
http://kvz.factorgpu.com
http://kvz.factorgpu.com/forbaby.png
http://kvz.factorgpu.com:21/forbaby.png
http://search.greenulz.com