본문 바로가기
악성코드 정보

[주의] 전자항공권 위장 악성코드 유포 (Ammyy, CLOP)

by AhnLab ASEC 분석팀 2019. 7. 25.

2019년 7월 25일 오전 전자항공권을 위장하여 국내 기업 타겟 악성코드가 대량 유포되어 사용자의 주의가 필요하다. 항공사의 전자항공권으로 위장하여 스팸 메일이 발송되었고, 첨부 된 .iso 파일은 pdf로 위장한 악성 실행파일(*.scr)을 포함하고 있다.

 

확인결과, 해당파일은 기업사용자를 타겟하여 유포 중인 CLOP 랜섬웨어에서 사용되는 Ammyy 해킹툴을 다운로드 하는것으로 확인되었다. 또한, 기존에 사용했던 엑셀 문서파일(*.xl 확장자) 형태도 함께 확인되어 다양한 방식으로 Ammyy 해킹툴을 국내에 유포 중인 것으로 추정된다. 아래의 그림은 ISO 파일 확장자로 유포된 형태를 나타낸다.

 

[1] ISO 형태

 

[그림 1] - 전자항공권을 사칭한 악성 iso 유포 메일

 

ISO 내부에는 아래와 같이 PDF 문서파일로 위장한 SCR 확장자(EXE와 같은 실행파일 형태)의 실행파일이 존재함을 알 수 있다.

 

[그림 2] - 메일에 첨부된 iso 파일 내부의 악성 exe 파일


PDF 위장 실행파일을 실행 시 [그림 3]에서 처럼 명시된 URL 주소로 접속하여 파일을 다운로드하는 기능을 수행한다. 확인결과, 해당 악성코드는 Ammyy 라는 이름의 해킹툴로 CLOP 랜섬웨어 감염 전에 설치되는 파일이다. 이 외에 [그림 4] 와 같이 링크 파일 형태의 다운로더 파일도 발견되고 있으며, 다양한 유포방식의 분석은 하기의 전 글을 참고하기 바란다.

[그림 2] - 첨부된 exe 파일의 ammyy 악성코드 다운로드 기능

 

[2] LNK 바로가기 형태

 

[그림 4] - URL을 통해 AmmyyRat 를 다운로드하는 .lnk 파일

추가로 확인된 엑셀문서파일은 아래와 같은 화면이 보여지며, 내부 매크로 코드에 의해 2차 파일 다운로드가 수행되며 Ammyy 해킹툴로 확인되었다.

 

[3] 엑셀 문서파일 형태

 

[그림 5] - 엑셀문서 파일 화면

흥미로운 점은 엑셀문서와 위 ISO 파일에 의해 접속하는 다운로드 주소가 동일하다는 점이며, 이를 통해 공격자는 기존의 문서파일 형태의 공격 뿐 아니라 다양한 형태로 감염을 시도하고 있음을 알 수 있다.

 

[그림 6] - 엑셀문서에 의한 프로세스 행위 및 접속 URL

 

 

2019/05/30 - [악성코드 정보] - [주의] 국세청 사칭 악성 메일 대량 유포 (Ammyy, CLOP)

2019/05/29 - [악성코드 정보] - [주의] 국내 기업을 대상으로 대량 유포되는 엑셀 파일 분석 - Ammyy 원격제어 백도어와 Clop 랜섬웨어 유포

2019/03/08 - [악성코드 정보] - 기업 사용자를 타겟하여 설치되는 해킹툴 Ammyy (CLOP 랜섬웨어)

2019/03/07 - [악성코드 정보] - 해킹툴 Ammyy 이용한 CLOP 랜섬웨어 유포(?)

2019/02/14 - [악성코드 정보] - 국내 사용자를 대상으로 유포 중인 성 Excel 문서 파일

2019/02/14 - [악성코드 정보] - 국내 사용자를 대상으로 유포 중인 악성 Excel 문서 파일


  • ISO : BinImage/Dropper(2019.07.25.03)
  • EXE : Trojan/Win32.Agent (2019.07.25.03)
  • 다운로드 PE(EXE) :  Win-Trojan/Clopran.Exp (2019.06.21.00)
  • LNK : LNK/Runner(2019.07.25.03)

댓글0