TA505조직, 악성 이토토 카지노 활용해 한국 공격 재개
2019년 10월 17일 오전부터 국내 기업들을 대상으로 토토 카지노 파일과 링크를 삽입한 스팸 메일이 대량으로 유포되고 있어 사용자들의 각별한 주의가 필요합니다.
ESRC에서는 TA505 조직의 소행으로 추측하고 있으며, 스팸 토토 카지노에는 별다른 본문 내용 없이 xls 파일을 첨부하거나, Onedrive 링크를 삽입했습니다.
[그림 1] 토토 카지노 xls 파일을 첨부한 스팸 메일
[그림 2] 토토 카지노 Onedrive 링크를 첨부한 스팸 메일
토토 카지노 엑셀 파일을 첨부한 메일의 경우, 위의 그림과 같이 특정 이름으로 유포되었으며, Onedrive 링크를 첨부한 메일의 발신 주소는 국내 중소기업 명을 사칭하였습니다.
해당 토토 카지노 받은 사용자가 호기심에 첨부된 엑셀 파일을 다운로드하거나, Onedrive 링크를 클릭하면 악성 매크로가 포함된 엑셀 파일을 확인하실 수 있습니다.
[그림 3] 메일에 첨부된 토토 카지노 엑셀 파일
[그림 4] Onedrive 링크를 통해 다운로드된 토토 카지노 엑셀 파일
두 엑셀 파일 모두 매크로 사용을 요청하는 메시지를 띄웁니다. 만약 사용자가 매크로 사용을 허용하면 토토 카지노자는 피해자 PC의 컴퓨터 이름, 사용자 이름, 운영체제 정보 등을 수집할 수 있습니다.
* IoC
File Name | MD5 |
S22C-6e358272612137.xls | D75F5DF374BFA61A41D7CF824D52B0AB |
B001_101719.xls | C7D3ABB7CDE9E8DD22725D125677478B |
현재 알약에서는 해당 토토 카지노코드에 대해'Trojan.Downloader.X97M.Gen, Trojan.Downloader.XLS.gen'으로 탐지 중에 있습니다.
‘S22C-6e358272612137.xls’ 분석
엑셀 파일에서 매크로를 실행할 경우, 아래의 경로에 DLL 파일을 드롭 및 로드하는 기능이 수행됩니다.
- ‘C:\Users\[사용자 계정]\AppData\Roaming\Microsoft\Windows\Templates\libDxdiag1.dll’
[그림 5] 매크로에서 ‘libDxdiag1.dll’ 로드 코드
로드된 ‘libDxdiag1.dll’은 ‘https://windows-afx-update[.]com/f1611’에 연결하여 감염 PC 정보 전송 및 다운로더 기능을 수행합니다.
정보 전송 목록에는 컴퓨터 이름, 사용자 이름, 운영체제 정보, 현재 실행 중인 프로세스 이름이 포함됩니다.
[그림 6] 감염 PC 정보 전송 화면
분석 시점에서 토토 카지노자의 C&C연결이 이루어지지 않았지만, 만일 C&C에서 다운로드가 이루어진다면2차 피해가 발생할 수 있어 사용자들의 각별한 주의가 필요합니다.
[그림 7] 다운로드된 파일 드롭 및 실행 코드
공격자는 파일 첨부 없이 링크로 토토 카지노 파일을 다운로드하는 방법도 사용했는데, 이는 메일 필터링 시스템을 쉽게 우회할 수 있었을 것입니다.
토토 카지노자는 최근 2019년 10월부터 위 파일에 사용된 다운로드 도메인을 포함한유사한 도메인을 다수 등록했습니다.
이를 통해토토 카지노자가 알려지지 않은 토토 카지노이나 추가 토토 카지노을 수행할 수 있어 유의해야 합니다.
|
DOMAIN NAME |
CREATED |
|
onedrive-sd[.]com |
15 Oct 2019 |
|
windows-afx-update[.]com |
15 Oct 2019 |
|
dropbox-en[.]com |
14 Oct 2019 |
|
onedrive-download[.]com |
14 Oct 2019 |
|
onedrive-download-en[.]com |
14 Oct 2019 |
|
windows-en-us-update[.]com |
14 Oct 2019 |
|
office365-eu-update[.]com |
13 Oct 2019 |
|
onedrive-en[.]com |
13 Oct 2019 |
|
office365-us-update[.]com |
13 Oct 2019 |
|
windows-fsd-update[.]com |
7 Oct 2019 |
|
dropbox-download[.]com |
1 Oct 2019 |
|
windows-msd-update[.]com |
1 Oct 2019 |
|
onedrive-cdn[.]com |
1 Oct 2019 |
|
googledrive-en[.]com |
1 Oct 2019 |
|
windows-cnd-update[.]com |
1 Oct 2019 |
|
windows-update-02-en[.]com |
2 Sep 2019 |
[표 1] 도메인 등록자의 등록이력
※관련글 바로가기