안랩 ASEC은 최근들어 국내 코인업체를 대상으로 타겟하여 이메일 첨부파일(DOC, RTF, VBS, EXE 등 다양) 형태로 'Amadey' 이름의 악성코드 공격이 빈번하게 시도됨을 확인하였다. 현재까지 공격에 사용된 문서파일 및 실행파일의 이름은 다음과 같다.
– Crypto Market Predictor for Desktop V2.13.exe
– Price list on blockchain 24.03.2019.exe
– Price list coins 26.03.19.bat
– 주식회사 크립토???_세무조정계산서(추가).doc
– ?토큰전망분석.doc
– 추가안내서.hwp.exe
– ??? 상세분석.doc
– ????송금내역.doc
– ??? 회원님 거래내역.doc
– ??coin 관련 문의내용.doc
– ??? 음악학원 2월.doc
– ???? 입고내역.doc
– 참고사항.doc. (공백) .vbs
– ????_휴먼기업은행 확인건.doc
주로 이메일 첨부파일로 유포되고 있으며, 문서파일 내부의 매크로 코드에 의해 'Amadey' 악성코드 유포관련 페이지에 접속 및 2차 악성파일 다운로드 형태로 동작한다. 아래의 그림은 해당 악성코드 감염 시, 접속하는 공격자 페이지 “http://cert-us.com” 중 로그인 페이지 화면을 나타낸다. 이를 통해 국내 유포 중인 이러한 유형의 악성코드가 'Amadey' 임을 추정할 수 있다.
아래의 그림은 유포에 사용된 문서파일 중 하나를 나타내며 암호화폐 관련 내용임을 알 수 있다. 해당 문서파일 실행 시, 사용자 모르게 공격자 페이지 접속(http://cert-us.com/CC/index.php) 및 2차 파일 다운로드 행위가 발생한다.
'Amadey' 악성코드 관련 현재까지 확인된 공격자 페이지는 아래와 같다.
– http://51.15.252.131/CC/index.php
– http://ashleywalkerfuns.com/2hYbb4x/index.php
– http://kadzimagenius.com/index.php
– http://cert-us.com/CC/index.php
– http://result-viewer.com/CC/index.php
– http://servicestatus.one/b2ccsaG/index.php
– http://skcalladhellormi.xyz/s41g7gglkb/index.php
– http://software-update.live/computer/index.php
– http://datpapernl.com
– 95.215.1.196 (port:80)
– 51.15.232.120 (port:80)
– vua4cd.xyz (port:80)
다운로드된 EXE 파일 감염 시 아래와 같은 파일 생성 및 레지스트리 등록작업이 진행됨을 알 수 있다. “C:ProgramData” 하위에 랜덤형태의 10자리 이름(ex. 1f29f7ab8f)의 폴더가 생성되며, 자신의 복사본을 생성 및 자동실행을 위해 레지스트리에 등록하는 작업을 수행한다.
[파일생성]
– C:ProgramData1f29f7ab8fgnhlon.exe
– C:ProgramData9528110fb2kmrin.exe
– C:ProgramDataac7bf85f8bgdsun.exe
– C:ProgramData7426030338vnrin.exe
[레지스트리 등록]
– HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders
> “Startup” = c:programdata9528110fb2kmrin.exe
유포중인 악성코드는 아래의 그림과 같이 유효한 인증서를 포함하는 경우도 확인되었다.
현재까지 악성코드에서 사용된 인증서 정보는 아래와 같고 인증서를 포함하지 않는 형태도 함께 발견되고 있다.
– 발급대상: LOGI 4 LIMITED, 발급자: DigiCert EV Code Signing CA (SHA2)
– 발급대상: NEON CRAYON LIMITED, 발급자: COMODO RSA Code Signing CA
– 발급대상: ALISA LTD, 발급자: Sectigo RSA Code Signing CA
– 발급대상: ALL COLOUR AGENCY LTD, 발급자: DigiCert SHA2 Assured ID Code Signing CA
안랩 V3에서는 해당 악성코드를 아래와 같이 진단하고 있다.
– Trojan/Win32.Amabot
– BAT/Amabot
– BinImage/Amabot
– Win-Trojan/Logi.Exp
– Win-Trojan/Craydoor.Exp
– Win-Trojan/Alisa.Exp
– Win-Trojan/ALLColour.Exp
Categories:악성코드 정보
[…] [주의] 국내 코인업체 대상 ‘Amadey’ 악성코드 공격시도 (링크) […]