ASEC 분석팀에서는 금일 Lokibot이 국세청 ‘전자세금계산서’를 사칭하여 유포되고 있음을 확인하였다. 국세청을 사칭한 피싱 공격은 비단 이번 뿐만이 아니었다. 아래와 같이 기존 ASEC 블로그를 통해서 Infostealer 와 CLOP 랜섬웨어가 국세청을 사칭하여 유포된 이력을 확인 할 수 있다. 그 때 당시에는 메일 내부에 HTML 파일을 첨부하여 해당 파일 실행시 추가 악성파일을 다운로드하는 구조로 제작되었으나 이번에는 악성 매크로를 가진 파워포인트(*.PPT) 파일을 첨부하였다.
- 국세청 ‘전자세금계산서’ 사칭 악성코드 유포 – https://asec.ahnlab.com/ko/1368/
- [주의] 국세청 사칭 악성 메일 대량 유포 (Ammyy, CLOP) – https://asec.ahnlab.com/ko/1234/
이 첨부된 PPT 실행 후, 문서를 종료하였을 때 악성행위가 동작하도록 매크로 코드 작성되어 있다. 따라서 문서를 실행하고 열람했을 당시에는 아무런 내용도 없을 뿐아니라 악성 행위가 나타나지 않지만, 파워포인트를 종료하고 난 이후 아래와 같은 악성 행위가 진행된다.
PPT실행 후 mshta를 통해 특정 코드가 작성된 페이지로 이동하고 그 코드를 통해 핵심적인 파일 생성 및 실행이 발현된다.
- mshta로 접속시도하는 단축 URL – hxxp://j.mp/aksjcoijcoidods
- 위 단축 URL이 실제 연결되는 주소 – hxxps://myrilullimotithi.blogspot.com/p/3a4.html
악성 페이지 내부 코드는 ‘소스보기’를 통해 확인 할 수 있다.
이후 해당 코드를 통해 악성의 데이터가 레지스트리에 등록되는데 이때 저장되는 코드는 파워쉘 코드로서 powershell.exe 을 통해 실행될 수 있도록 한다. 이 powershell 코드는 최종적으로 윈도우 정상파일인 calc.exe 파일에 악성 PE를 인젝션하여 동작한다. 인젝션되는 최종 PE는 Lokibot으로 사용자의 정보를 탈취한다. (파일리스(Fileless) 형태로 동작)
- Lokibot C&C – hxxp://drdoganaykurkcu.com/spider/Panel/fre.php
이와 같이 악성 PPT문서가 웹에 업로드된 스크립트 코드를 mshta.exe를 통해 실행되는 사례로, AgentTesla가 해당 방식으로 유포된 이력이 있다. 이번에는 이와 유사한 방식으로 Lokibot이 유포된 것이다.
- AgentTesla 악성코드 국내에 어떻게 유포되고 있나? – https://asec.ahnlab.com/ko/1361/
유사한 사회공학적 방식으로 다양한 악성코드들이 피싱 메일을 통해 유포되고 있기 때문에 사용자는 메일의 첨부된 파일을 열람할 시 강도높은 주의가 필요하다.
현재 V3에서는 위와 같은 악성코드를 아래와 같이 진단 중이다.
[파일 진단]
- Downloader/PPT.Generic
- Trojan/Win32.Lokibot.C270234
[관련 IOC정보]
[C2]
- hxxp://j.mp/aksjcoijcoidods
- hxxps://myrilullimotithi.blogspot.com/p/3a4.html
- hxxp://drdoganaykurkcu.com/spider/Panel/fre.php
[HASH]
- 3f3e4894ee431de2d81792fe481e3666
- eccf8dbf6237ab046333d913eef17273
Categories:악성코드 정보