본문 바로가기

악성코드 정보

[주의] 국내 코인업체 대상 'Amadey' 악성코드 공격시도

안랩 ASEC은 최근들어 국내 코인업체를 대상으로 타겟하여 이메일 첨부파일(DOC, RTF, VBS, EXE 등 다양) 형태로 'Amadey' 이름의 악성코드 공격이 빈번하게 시도됨을 확인하였다. 현재까지 공격에 사용된 문서파일 및 실행파일의 이름은 다음과 같다.

 

- Crypto Market Predictor for Desktop V2.13.exe

- Price list on blockchain 24.03.2019.exe

- Price list coins 26.03.19.bat

- 주식회사 크립토???_세무조정계산서(추가).doc

- ?토큰전망분석.doc

- 추가안내서.hwp.exe

- ??? 상세분석.doc

- ????송금내역.doc

- ??? 회원님 거래내역.doc

- ??coin 관련 문의내용.doc

- ??? 음악학원 2월.doc

- ???? 입고내역.doc

- 참고사항.doc.   (공백)   .vbs

- ????_휴먼기업은행 확인건.doc

 

주로 이메일 첨부파일로 유포되고 있으며, 문서파일 내부의 매크로 코드에 의해 'Amadey' 악성코드 유포관련 페이지에 접속 및 2차 악성파일 다운로드 형태로 동작한다. 아래의 그림은 해당 악성코드 감염 시, 접속하는 공격자 페이지 "http://cert-us.com" 중 로그인 페이지 화면을 나타낸다. 이를 통해 국내 유포 중인 이러한 유형의 악성코드가 'Amadey' 임을 추정할 수 있다.

 

http://cert-us.com/CC/login.php 접속화면

아래의 그림은 유포에 사용된 문서파일 중 하나를 나타내며 암호화폐 관련 내용임을 알 수 있다. 해당 문서파일 실행 시, 사용자 모르게 공격자 페이지 접속(http://cert-us.com/CC/index.php) 및 2차 파일 다운로드 행위가 발생한다.

 

공격에 사용된 워드 문서파일 내용

 

'Amadey' 악성코드 관련 현재까지 확인된 공격자 페이지는 아래와 같다.

 

- http://51.15.252.131/CC/index.php

http://ashleywalkerfuns.com/2hYbb4x/index.php

http://kadzimagenius.com/index.php

http://cert-us.com/CC/index.php

http://result-viewer.com/CC/index.php

http://servicestatus.one/b2ccsaG/index.php

http://skcalladhellormi.xyz/s41g7gglkb/index.php

- http://software-update.live/computer/index.php

http://datpapernl.com

- 95.215.1.196 (port:80)

- 51.15.232.120 (port:80)

vua4cd.xyz (port:80)

 

다운로드된 EXE 파일 감염 시 아래와 같은 파일 생성 및 레지스트리 등록작업이 진행됨을 알 수 있다. "C:\ProgramData" 하위에 랜덤형태의 10자리 이름(ex. 1f29f7ab8f)의 폴더가 생성되며, 자신의 복사본을 생성 및 자동실행을 위해 레지스트리에 등록하는 작업을 수행한다.

 

[파일생성]

- C:\ProgramData\1f29f7ab8f\gnhlon.exe
- C:\ProgramData\9528110fb2\kmrin.exe
- C:\ProgramData\ac7bf85f8b\gdsun.exe

- C:\ProgramData\7426030338\vnrin.exe

 

[레지스트리 등록]

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

  > "Startup" = c:\programdata\9528110fb2\kmrin.exe

문서파일에 의해 다운로드 된 EXE 파일의 실행과정

유포중인 악성코드는 아래의 그림과 같이 유효한 인증서를 포함하는 경우도 확인되었다.

 

유효인증서 포함하여 유포 중인 'Amadey'

현재까지 악성코드에서 사용된 인증서 정보는 아래와 같고 인증서를 포함하지 않는 형태도 함께 발견되고 있다.

 

- 발급대상: LOGI 4 LIMITED, 발급자: DigiCert EV Code Signing CA (SHA2)
- 발급대상: NEON CRAYON LIMITED, 발급자: COMODO RSA Code Signing CA
- 발급대상: ALISA LTD, 발급자: Sectigo RSA Code Signing CA
- 발급대상: ALL COLOUR AGENCY LTD, 발급자: DigiCert SHA2 Assured ID Code Signing CA

 

안랩 V3에서는 해당 악성코드를 아래와 같이 진단하고 있다.

 

- Trojan/Win32.Amabot

- BAT/Amabot

- BinImage/Amabot

- Win-Trojan/Logi.Exp 
- Win-Trojan/Craydoor.Exp 
- Win-Trojan/Alisa.Exp
- Win-Trojan/ALLColour.Exp