lazarusholic

Everyday is lazarus.dayβ

한국 핵무장 관련 전문가 온라인 좌담회로 위장한 악성메일 주의

2022-01-25, Hauri
https://www.hauri.co.kr/security/issue_view.html?intSeq=412&page=1&article_num=324

Contents

□ 개요
최근 국내에 전문가 좌담회 토론자 초청으로 위장한 악성메일이 유포되고 있어 국내 사용자들의 각별한 주의가 필요하다.
□ 내용
해당 메일에는 회담 참석에 관한 내용으로 첨부파일 실행을 유도하고 있다.
[그림 1] 회담 참석으로 위장한 악성메일
첨부된 문서는 암호가 걸려있으며 메일에 포함된 비밀번호를 입력하면 열린다.
[그림 2] 암호가 걸린 문서
문서에는 매크로 실행을 위한 콘텐츠 사용 클릭을 유도하는 내용이 적혀있으며 콘텐츠 사용 클릭 시 문서에 포함된 악성 매크로 코드가 실행된다.
[그림 3] 악성 매크로 실행을 위한 콘텐츠 사용 클릭 유도
[그림 4] 콘텐츠 사용을 클릭한 다음 문서 내용
문서에 포함된 악성 매크로 코드는 실행 시 사용자의 PC 정보를 수집해 다음 서버로 전송한다.
- C&C : Yulsohnyonsei[.]medianewsonline[.]com
[그림 5] 사용자 PC의 정보 수집
[표 1] PC 정보 수집 목록
다음 서버에서 VBS 파일을 다운로드 받아 실행한다.
- C&C : http://koreajjjjj[.]sportsontheweb[.]net/0119/k.php
- 다운로드 경로 : %AppData%\Desktop.ini
[그림 6] C&C서버에서 파일 다운로드
C&C 서버에 정상적으로 접속될 경우 다른 악성코드에 감염될 수 있다.
□ 바이로봇 업데이트 내역
W97M.Agent
Top

IoC

http://Yulsohnyonsei.medianewsonline.com
http://koreajjjjj.sportsontheweb.net/0119/k.php