송금 확인서를 위장한 피싱 메일 주의
최근 AhnLab Security intelligence Center(ASEC)에서는 송금 확인서로 위장한 피싱 메일 유포 사례를 확인했다. 해당 이메일은 국내 특정 기업의 직원을 사칭하며, 수신자에게 첨부된 결제 관련 송금 확인서로 위장한 악성 XLS 파일을 확인하도록 유도한다.

[그림 1] 피싱 이메일 본문
사용자가 첨부된 XLS 파일을 다운로드하여 실행하면, [그림 2]와 같이 정상적인 송금 확인서 내용이 표시된다. 이는 사용자의 의심을 줄이기 위한 미끼 문서(Decoy) 역할을 수행한다. 그러나 문서 내부에는 OLE 객체를 악용한 CVE-2017-0199 취약점이 포함되어 있다. 해당 취약점은 Microsoft Office의 OLE2Link 기능을 악용한 원격 코드 실행(RCE) 취약점으로, 사용자가 문서를 열면 외부 URL에 자동으로 접근하여 추가 악성 파일(HTA 등)을 다운로드하고 실행할 수 있다. 본 사례에서는 아래 C2 서버로부터 악성 HTA 파일을 다운로드하여 실행한다.
HTA 다운로드 C2
- hxxp://144.172.104[.]196/35/smallbackpackcomingfromthebestplaces.hta

[그림 2] 미끼 내용으로 위장한 악성 xls 파일

[그림 3] CVE-2017-0199 취약점
악성 HTA 파일이 C2 서버로부터 다운로드되어 실행되면, WMI의 Win32_Process.Create() 메서드를 이용해 난독화된 PowerShell 스크립트를 백그라운드에서 실행한다.

[그림 4] 악성 HTA 스크립트 중 일부
실행된 PowerShell 스크립트를 복호화한 내용은 [그림 5]와 같다. 해당 스크립트는 추가 C2 서버에서 스테가노그래피가 적용된 PNG 파일을 다운로드한 뒤, “IN-” 및 “-inl” 문자열을 마커로 사용하여 Base64로 인코딩된 .NET 로더 유형의 악성코드를 추출한다. 이후 이를 복호화하여 메모리상에서 로드 및 실행한다. 이때 로더는 Remcos RAT를 다운로드할 C2 서버 주소를 인자 값으로 전달받아 동작한다.
스태가노그래피 PNG 다운로드 C2
- hxxps://blue-paper-f69f[.]acrypters.workers.dev/FTM0-40PO-AO28-G98E/img_qiql6d.png
Remcos RAT 다운로드 C2
- hxxp://144.172.104[.]196/vzt/vzt_175159.cat

[그림 5] 악성 PowerShell 스크립트

[그림 6] 스테가노그래피가 적용된 PNG 내부 Base64

[그림 7] 스테가노그래피가 적용된 PNG
최종적으로 실행된 Remcos RAT는 감염 시스템에서 원격 명령을 수신하고 이를 실행하는 행위를 수행하는 악성코드로, 키로깅, 화면 캡처, 파일 조작 등 다양한 기능을 통해 시스템 및 사용자 정보를 수집한다. 수집된 정보와 실행 결과는 C2 서버와의 통신을 통해 외부로 전송된다.
Remcos RAT C2
-
guhudeolokghguhumandeylikebroemdfhhfhsjj.duckdns[.]org:4087

[그림 8] 최종 실행되는 Remcos RAT
대응 가이드
1. 발신자 확인
- 발신자의 이메일 주소가 공식적인 도메인인지 확인한다.
2. 하이퍼 링크 및 첨부 파일 확인
- 메일의 본문에 첨부된 이미지 클릭을 유도한 경우, 클릭 전 연결된 URL 정보를 먼저 확인한다. 의심스러운 URL은 보통 공식 페이지가 아닌 다른 경로를 거쳐 최종적으로 정상 페이지로 리다이렉트될 수 있으므로, 이를 주의 깊게 살펴봐야 한다. 또한, 첨부 파일이 있을 경우 의심 스러운 파일 확장자(.exe, .vbs, .js 등)인지 확인한다.
3. 민감 정보 입력 주의
- 로그인 계정 정보와 같은 민감 데이터를 요구하는 경우, 해당 정보를 입력하기 전에 반드시 해당 페이지의 URL이 공식 페이지인지 확인한다. 공식 페이지가 아닌 경우, 의심스러운 URL일 가능성이 높으므로 주의가 필요하다. 특히, 민감 정보를 입력하기 전에 페이지의 보안 인증(HTTPS, 자물쇠 아이콘)을 확인하고, 의심스러운 경우 절대 정보를 입력하지 않도록 한다.