본문 바로가기

악성코드 정보

[주의] 국세청 사칭 악성 메일 대량 유포 (Ammyy, CLOP)

2019년 5월 30일 오전 국세청을 사칭한 국내 기업 타겟 악성코드가 대량 유포되어 사용자의 주의가 필요하다.

 

국세청 세금계산서로 위장하여 스팸 메일이 발송되었고, 첨부 된 .html 파일은 악성 엑셀 파일(xls)을 다운로드 하는 기능이 있다. 기존에는 메일에 xls파일을 첨부하여 유포하였다면, 이번엔 스크립트(html)를 첨부해 이를 통해 xls 을 다운로드 하는 방식으로 변경되었다.

 

[그림 1] 국세청 사칭 이메일
[그림 2] 첨부된 HTML 내용 - XLS 다운로드 기능

첨부된 html 파일을 열게 되면 [그림 2]에 있는 url을 통해 악성 xls 파일을 다운로드 받으면 기존에 분석 된 내용과 동일한 백도어 AmmyyRat 파일을 다운받게 된다. 매크로를 포함한 상세 분석은 이 전 글을 참고하기 바란다.


2019/05/29 - [악성코드 정보] - [주의] 국내 기업을 대상으로 대량 유포되는 엑셀 파일 분석 - Ammyy 원격제어 백도어와 Clop 랜섬웨어 유포

2019/03/08 - [악성코드 정보] - 기업 사용자를 타겟하여 설치되는 해킹툴 Ammyy (CLOP 랜섬웨어)

2019/03/07 - [악성코드 정보] - 해킹툴 Ammyy를 이용한 CLOP 랜섬웨어 유포(?)

2019/02/14 - [악성코드 정보] - 국내 사용자를 대상으로 유포 중인 악성 Excel 문서 파일


그리고, AmmyyRat 실행파일(EXE)과 동일한 인증서를 사용하는 CLOP 랜섬웨어도 함께 발견되어 추가 피해가 우려된다. 

메일에 첨부된 그림을 자세히 읽어 보면 어색한 문장들이 존재하긴 하지만 많은 사용자들은 이를 눈치채지 못하고 첨부파일을 열어 보게될것이다. 이처럼 공격자들의 수법이 점점 교묘해지고 있기에 사용자의 많은 주의가 필요하다.

 

현재 V3에서는 해당 악성코드에 대해 다음과 같이 진단하고 있다.

 

  • HTML : HTML/AmmyyRat.S1 (2019.05.30.03)
  • EXCEL : VBA/XLMacro.S2 (2019.05.30.03)
  • PE(EXE) : Backdoor/Win32.Flawedammyy, Win-Trojan/Suspig9.Exp (2019.05.30.03)