본문 바로가기

악성코드 정보

[주의] 전자항공권 위장 악성코드 유포 (Ammyy, CLOP)

2019년 7월 25일 오전 전자항공권을 위장하여 국내 기업 타겟 악성코드가 대량 유포되어 사용자의 주의가 필요하다. 항공사의 전자항공권으로 위장하여 스팸 메일이 발송되었고, 첨부 된 .iso 파일은 pdf로 위장한 악성 실행파일(*.scr)을 포함하고 있다.

 

확인결과, 해당파일은 기업사용자를 타겟하여 유포 중인 CLOP 랜섬웨어에서 사용되는 Ammyy 해킹툴을 다운로드 하는것으로 확인되었다. 또한, 기존에 사용했던 엑셀 문서파일(*.xl 확장자) 형태도 함께 확인되어 다양한 방식으로 Ammyy 해킹툴을 국내에 유포 중인 것으로 추정된다. 아래의 그림은 ISO 파일 확장자로 유포된 형태를 나타낸다.

 

[1] ISO 형태

 

[그림 1] - 전자항공권을 사칭한 악성 iso 유포 메일

 

ISO 내부에는 아래와 같이 PDF 문서파일로 위장한 SCR 확장자(EXE와 같은 실행파일 형태)의 실행파일이 존재함을 알 수 있다.

 

[그림 2] - 메일에 첨부된 iso 파일 내부의 악성 exe 파일


PDF 위장 실행파일을 실행 시 [그림 3]에서 처럼 명시된 URL 주소로 접속하여 파일을 다운로드하는 기능을 수행한다. 확인결과, 해당 악성코드는 Ammyy 라는 이름의 해킹툴로 CLOP 랜섬웨어 감염 전에 설치되는 파일이다. 이 외에 [그림 4] 와 같이 링크 파일 형태의 다운로더 파일도 발견되고 있으며, 다양한 유포방식의 분석은 하기의 전 글을 참고하기 바란다.

[그림 2] - 첨부된 exe 파일의 ammyy 악성코드 다운로드 기능

 

[2] LNK 바로가기 형태

 

[그림 4] - URL을 통해 AmmyyRat 를 다운로드하는 .lnk 파일

추가로 확인된 엑셀문서파일은 아래와 같은 화면이 보여지며, 내부 매크로 코드에 의해 2차 파일 다운로드가 수행되며 Ammyy 해킹툴로 확인되었다.

 

[3] 엑셀 문서파일 형태

 

[그림 5] - 엑셀문서 파일 화면

흥미로운 점은 엑셀문서와 위 ISO 파일에 의해 접속하는 다운로드 주소가 동일하다는 점이며, 이를 통해 공격자는 기존의 문서파일 형태의 공격 뿐 아니라 다양한 형태로 감염을 시도하고 있음을 알 수 있다.

 

[그림 6] - 엑셀문서에 의한 프로세스 행위 및 접속 URL

 

 

2019/05/30 - [악성코드 정보] - [주의] 국세청 사칭 악성 메일 대량 유포 (Ammyy, CLOP)

2019/05/29 - [악성코드 정보] - [주의] 국내 기업을 대상으로 대량 유포되는 엑셀 파일 분석 - Ammyy 원격제어 백도어와 Clop 랜섬웨어 유포

2019/03/08 - [악성코드 정보] - 기업 사용자를 타겟하여 설치되는 해킹툴 Ammyy (CLOP 랜섬웨어)

2019/03/07 - [악성코드 정보] - 해킹툴 Ammyy 이용한 CLOP 랜섬웨어 유포(?)

2019/02/14 - [악성코드 정보] - 국내 사용자를 대상으로 유포 중인 성 Excel 문서 파일

2019/02/14 - [악성코드 정보] - 국내 사용자를 대상으로 유포 중인 악성 Excel 문서 파일


  • ISO : BinImage/Dropper(2019.07.25.03)
  • EXE : Trojan/Win32.Agent (2019.07.25.03)
  • 다운로드 PE(EXE) :  Win-Trojan/Clopran.Exp (2019.06.21.00)
  • LNK : LNK/Runner(2019.07.25.03)