TA505조직, 메이저 바카라사이트 장난감 이메일을 활용해 한국 공격 재개
2019년 10월 17일 오전부터 국내 기업들을 대상으로 메이저 바카라사이트 장난감 파일과 링크를 삽입한 스팸 메일이 대량으로 유포되고 있어 사용자들의 각별한 주의가 필요합니다.
ESRC에서는 TA505 조직의 소행으로 추측하고 있으며, 스팸 메이저 바카라사이트 장난감에는 별다른 본문 내용 없이 xls 파일을 첨부하거나, Onedrive 링크를 삽입했습니다.
[그림 1] 메이저 바카라사이트 장난감 xls 파일을 첨부한 스팸 메일
[그림 2] 메이저 바카라사이트 장난감 Onedrive 링크를 첨부한 스팸 메일
메이저 바카라사이트 장난감 엑셀 파일을 첨부한 메일의 경우, 위의 그림과 같이 특정 이름으로 유포되었으며, Onedrive 링크를 첨부한 메일의 발신 주소는 국내 중소기업 명을 사칭하였습니다.
해당 메일을 받은 사용자가 호기심에 첨부된 엑셀 파일을 다운로드하거나, Onedrive 링크를 클릭하면 악성 매크로가 포함된 엑셀 파일을 확인하실 수 있습니다.
[그림 3] 메일에 첨부된 메이저 바카라사이트 장난감 엑셀 파일
[그림 4] Onedrive 링크를 통해 다운로드된 악성 엑셀 파일
두 엑셀 파일 모두 매크로 사용을 요청하는 메시지를 띄웁니다. 만약 사용자가 매크로 사용을 허용하면 메이저 바카라사이트 장난감자는 피해자 PC의 컴퓨터 이름, 사용자 이름, 운영체제 정보 등을 수집할 수 있습니다.
* IoC
File Name | MD5 |
S22C-6e358272612137.xls | D75F5DF374BFA61A41D7CF824D52B0AB |
B001_101719.xls | C7D3ABB7CDE9E8DD22725D125677478B |
현재 알약에서는 해당 메이저 바카라사이트 장난감코드에 대해'Trojan.Downloader.X97M.Gen, Trojan.Downloader.XLS.gen'으로 탐지 중에 있습니다.
‘S22C-6e358272612137.xls’ 분석
엑셀 파일에서 매크로를 실행할 경우, 아래의 경로에 DLL 파일을 드롭 및 로드하는 기능이 수행됩니다.
- ‘C:\Users\[사용자 계정]\AppData\Roaming\Microsoft\Windows\Templates\libDxdiag1.dll’
[그림 5] 매크로에서 ‘libDxdiag1.dll’ 로드 코드
로드된 ‘libDxdiag1.dll’은 ‘https://windows-afx-update[.]com/f1611’에 연결하여 감염 PC 정보 전송 및 다운로더 기능을 수행합니다.
정보 전송 목록에는 컴퓨터 이름, 사용자 이름, 운영체제 정보, 현재 실행 중인 프로세스 이름이 포함됩니다.
[그림 6] 감염 PC 정보 전송 화면
분석 시점에서 메이저 바카라사이트 장난감자의 C&C연결이 이루어지지 않았지만, 만일 C&C에서 다운로드가 이루어진다면2차 피해가 발생할 수 있어 사용자들의 각별한 주의가 필요합니다.
[그림 7] 다운로드된 파일 드롭 및 실행 코드
공격자는 파일 첨부 없이 링크로 악성 파일을 다운로드하는 방법도 사용했는데, 이는 메일 필터링 시스템을 쉽게 우회할 수 있었을 것입니다.
공격자는 최근 2019년 10월부터 위 파일에 사용된 다운로드 도메인을 포함한유사한 도메인을 다수 등록했습니다.
이를 통해공격자가 알려지지 않은 공격이나 추가 공격을 수행할 수 있어 유의해야 합니다.
|
DOMAIN NAME |
CREATED |
|
onedrive-sd[.]com |
15 Oct 2019 |
|
windows-afx-update[.]com |
15 Oct 2019 |
|
dropbox-en[.]com |
14 Oct 2019 |
|
onedrive-download[.]com |
14 Oct 2019 |
|
onedrive-download-en[.]com |
14 Oct 2019 |
|
windows-en-us-update[.]com |
14 Oct 2019 |
|
office365-eu-update[.]com |
13 Oct 2019 |
|
onedrive-en[.]com |
13 Oct 2019 |
|
office365-us-update[.]com |
13 Oct 2019 |
|
windows-fsd-update[.]com |
7 Oct 2019 |
|
dropbox-download[.]com |
1 Oct 2019 |
|
windows-msd-update[.]com |
1 Oct 2019 |
|
onedrive-cdn[.]com |
1 Oct 2019 |
|
googledrive-en[.]com |
1 Oct 2019 |
|
windows-cnd-update[.]com |
1 Oct 2019 |
|
windows-update-02-en[.]com |
2 Sep 2019 |
[표 1] 도메인 등록자의 등록이력
※관련글 바로가기
▶TA505조직, 스캔파일로 위장한 메이저 바카라사이트 장난감메일 대량 유포중! (2019.08.09)
▶ TA505 조직, 국내 항공사 전자항공권 사칭 해킹 메이저 바카라사이트 장난감 유포 주의 (2019.07.25)
▶ TA505 그룹, 송금증 내용을 위장한 메이저 바카라사이트 장난감 피싱메일 대량 유포 중! (2019. 06. 20)
▶ 메이저 바카라사이트 장난감 그룹, 거래내역서, 견적서, 영수증 등으로 사칭해 Ammyy RAT 유포 (2019.06.03)
▶ TA505 그룹, 국세청 홈택스 사칭해 메이저 바카라사이트 장난감 메일 대량 유포 중! (2019.05.30)
▶ TA505 그룹, 국세청 사칭해 메이저 바카라사이트 장난감 메일 대량 유포 중! (2019.05.28)
▶ TA505, 반출 신고서, 출근부 등을 위장한 새로운 메이저 바카라사이트 장난감 파일 유포중! (2019.05.21)
▶ TA505조직, 다양한 피싱 메일 형태로 메이저 바카라사이트 장난감 설치파일 유포 주의! (2019.05.16)
▶ TA505조직, 또다시 엑셀 문서로 위장한 메이저 바카라사이트 장난감 이메일 유포해 (2019.05.08)
▶ TA505 조직, 요청자료 엑셀문서처럼 위장해 한국에 메이저 바카라사이트 장난감 이메일 유포 중 (2019.05.02)
▶ 클롭(Clop) 랜섬웨어 유포 조직이 진행하는 기업 타깃 대량메이저 바카라사이트 장난감 주의! (2019.04.24)
