국세청 ‘전자세금계산서’ 사칭한 Lokibot 유포

ASEC 분석팀에서는 금일 Lokibot이 국세청 ‘전자세금계산서’를 사칭하여 유포되고 있음을 확인하였다. 국세청을 사칭한 피싱 공격은 비단 이번 뿐만이 아니었다. 아래와 같이 기존 ASEC 블로그를 통해서 Infostealer 와 CLOP 랜섬웨어가 국세청을 사칭하여 유포된 이력을 확인 할 수 있다. 그 때 당시에는 메일 내부에 HTML 파일을 첨부하여 해당 파일 실행시 추가 악성파일을 다운로드하는 구조로 제작되었으나 이번에는 악성 매크로를 가진 파워포인트(*.PPT) 파일을 첨부하였다.

국세청 ‘전자세금계산서’ 사칭 메일 내부 악성 PPT문서 첨부

이 첨부된 PPT 실행 후, 문서를 종료하였을 때 악성행위가 동작하도록 매크로 코드 작성되어 있다. 따라서 문서를 실행하고 열람했을 당시에는 아무런 내용도 없을 뿐아니라 악성 행위가 나타나지 않지만, 파워포인트를 종료하고 난 이후 아래와 같은 악성 행위가 진행된다.

PPT실행 후 mshta를 통해 특정 코드가 작성된 페이지로 이동하고 그 코드를 통해 핵심적인 파일 생성 및 실행이 발현된다.

  • mshta로 접속시도하는 단축 URL – hxxp://j.mp/aksjcoijcoidods
  • 위 단축 URL이 실제 연결되는 주소 – hxxps://myrilullimotithi.blogspot.com/p/3a4.html

악성 페이지 내부 코드는 ‘소스보기’를 통해 확인 할 수 있다.

연결된 페이지의 악성 스크립트 코드

이후 해당 코드를 통해 악성의 데이터가 레지스트리에 등록되는데 이때 저장되는 코드는 파워쉘 코드로서 powershell.exe 을 통해 실행될 수 있도록 한다. 이 powershell 코드는 최종적으로 윈도우 정상파일인 calc.exe 파일에 악성 PE를 인젝션하여 동작한다. 인젝션되는 최종 PE는 Lokibot으로 사용자의 정보를 탈취한다. (파일리스(Fileless) 형태로 동작)

  • Lokibot C&C – hxxp://drdoganaykurkcu.com/spider/Panel/fre.php

이와 같이 악성 PPT문서가 웹에 업로드된 스크립트 코드를 mshta.exe를 통해 실행되는 사례로, AgentTesla가 해당 방식으로 유포된 이력이 있다. 이번에는 이와 유사한 방식으로 Lokibot이 유포된 것이다.

유사한 사회공학적 방식으로 다양한 악성코드들이 피싱 메일을 통해 유포되고 있기 때문에 사용자는 메일의 첨부된 파일을 열람할 시 강도높은 주의가 필요하다.

현재 V3에서는 위와 같은 악성코드를 아래와 같이 진단 중이다.

[파일 진단]

  • Downloader/PPT.Generic
  • Trojan/Win32.Lokibot.C270234

[관련 IOC정보]

[C2]

  • hxxp://j.mp/aksjcoijcoidods
  • hxxps://myrilullimotithi.blogspot.com/p/3a4.html
  • hxxp://drdoganaykurkcu.com/spider/Panel/fre.php

[HASH]

  • 3f3e4894ee431de2d81792fe481e3666
  • eccf8dbf6237ab046333d913eef17273

4.5 2 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments