피싱메일에 첨부된 PPT 파일을 통해 유포되는 AgentTesla !!
ASEC 분석팀은 피싱메일에 악성 파워포인트(*.PPT) 파일이 첨부되어 유포중인 것을 확인하였다. 악성코드가 유포되고 동작하는 방식은 ASEC 블로그를 통해 지속적으로 소개해왔던 방식에서 크게 벗어나지 않으며, 기존에 사용했던 방법들을 조합한 것이 특징이라고 할 수 있다.
AgentTesla 악성코드 국내에 어떻게 유포되고 있나? – ASEC BLOG
올해 초부터 피싱 메일에 악성 파워포인트(*.PPT) 파일이 첨부되어 유포중인 사례가 확인되고 있다. ASEC 분석팀에서는 최근 이러한 공격 방식을 통해 AgentTesla가 최종 실행된 것을 포착하여 이에 대해 알리려한다. 해외에서는 아래 블로그처럼 해외에서도 올 1월 정보유출형 악성코드 azorult가 메일에 첨부된 PPT를 통해 유포되었다. (해외 블로그 : https://appriver.com/resources/blog/january-2020/powerpoint-malware-references-drake-lyrics-drop-lokibot-azorult…
국세청 ‘전자세금계산서’ 사칭한 Lokibot 유포 – ASEC BLOG
ASEC 분석팀에서는 금일 Lokibot이 국세청 ‘전자세금계산서’를 사칭하여 유포되고 있음을 확인하였다. 국세청을 사칭한 피싱 공격은 비단 이번 뿐만이 아니었다. 아래와 같이 기존 ASEC 블로그를 통해서 Infostealer 와 CLOP 랜섬웨어가 국세청을 사칭하여 유포된 이력을 확인 할 수 있다. 그 때 당시에는 메일 내부에 HTML 파일을 첨부하여 해당 파일 실행시 추가 악성파일을 다운로드하는 구조로 제작되었으나 이번에는 악성 매크로를 가진 파워포인트(*.PPT) 파일을 첨부하였다. 국세청 ‘전자세금계산서’ 사칭 악성코드 유…
지난 2020년 7월에 ASEC블로그에 소개한 내용(‘AgentTesla 악성코드 국내에 어떻게 유포되고 있나?’)은 공격자가 Pastebin 서비스를 사용하여 AgentTesla 를 유포한 것이며, 11월에 소개한 내용(‘국세청 ‘전자세금계산서’ 사칭한 Lokibot 유포’)은 Blogspot 웹페이지에 악성 스크립트 코드를 삽입하여 Lokibot 악성코드를 유포하는 것을 담은 내용이다.
이번에는 위의 방법 두 가지를 조합하여, Blogspot 웹페이지에 삽입한 악성 스크립트 코드를 통해 AgentTesla 를 유포한 것으로 확인된다. 지난주에 소개한 주간 악성코드 통계에서도 알 수 있듯이, AgentTesla는 사용자 정보를 유출하는 인포스틸러 유형의 악성코드 중 가장 많은 비중을 차지하고 있다.
ASEC 주간 악성코드 통계 ( 20210329 ~ 20210404 ) – ASEC BLOG
ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 3월 29일 월요일부터 2021년 4월 4일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 78.1%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 13.5%, 다운로더와 Coin Miner 가 3.9%, 뱅킹 악성코드와 랜섬웨어가 0.3%로 집계되었다. Top 1 – AgentTesla Age…
위의 메일과 같이 PPT 파일을 메일에 첨부하였는데, 최종적으로 동작하게 되는 AgentTesla 악성코드는 웹에 업로드 된 스크립트 코드에 의해 실행된다. 즉, 첨부된 PPT파일을 실행하면 Auto_Open 함수에 의해 악성 매크로 코드가 실행되는데, 이 때 mshta.exe 를 이용하여 악성 URL에 접근하는 기능이 존재한다.
[그림2] – PPT 파일 내부에 존재하는 매크로 코드
매크로 코드에 존재하는 URL을 웹브라우저를 통해 접근해보면, 별도의 악성행위가 확인되지 않는 빈 블로그로 보이지만, 웹소스를 확인해보면 악성 스크립트가 삽입되어 있는 것을 알 수 있다.
악성 스크립트가 삽입된 부분은 세 군데이며, 각 스크립트를 복호화하면 악성 VBS코드를 확인할 수 있다.
첫번째 악성 스크립트를 복호화 한 VBS코드에서는 AgentTesla 악성코드가 존재하는 URL을 확보할 수 있다. 아래 그림과 같이 해당 URL에 접근해보면 인코딩 된 바이너리를 확인할 수 있으며, 이는 궁극적으로 AgentTesla 악성코드가 Fileless 형태로 동작할 수 있도록 한다.
아래의 그림은 자사 RAPIT 시스템에서 확인되는 프로세스 트리이며, schtasks.exe 의 커맨드라인에서 확인할 수 있듯이 80분의 주기로 특정 Blogspot 웹페이지에 리다이렉트 하도록 스케쥴을 등록한다.
동일한 VBA 코드가 삽입된 유사 PPT파일들을 추가 확보하여 분석 결과, 본 샘플과 동일하게 mshta.exe 를 사용하여 특정 페이지에 접속하는 방식을 사용하여 AgentTesla 악성코드가 유포되는 것을 확인할 수 있었다.
사용자들은 출처가 불분명한 메일을 확인할 때에는 항상 주의해야 하며, 사용하고 있는 백신도 최신 버전으로 유지하고자 하는 노력이 필요하다.
현재 V3에서는 위와 같은 악성코드를 다음과 같이 진단하고 있다.
- Downloader/PPT.Generic
- Trojan/Win32.RL_AgentTesla.C4368221
V3 행위진단 옵션을 사용중일 경우 아래와 같이 의심스러운 mshta.exe 행위는 차단된다.
- Malware/MDP.SystemManipulation.M3546
