원노트(.one) 슬롯 꽁 머니 통한 악성코드 유포 급증 주의!

원노트슬롯 꽁 머니(.one)을활용한공격은올해1월중순부터등장하기시작하였으며,현재까지지속되고증가추세를보이고있습니다.

전 세계 사용자들을 대상으로 공격이 진행되고 있으며, 국내 사용자를 타깃으로 한 공격시도도 급증하고 있어 사용자들의 각별한 주의가 요구됩니다.

​​
원노트슬롯 꽁 머니의경우MSoffice에적용된제한된보기및윈도우의기본보호매커니즘중하나인MOTW(Mark-of-the-Web)의영향을받지않습니다.

뿐만아니라원노트파일내VBS,WSF,HTA등의파일형식의포함을허용합니다.이러한형식의슬롯 꽁 머니실행할때특정경고창을띄우긴하지만사용자들은일반적으로이러한경고창에개의치않고'확인'을눌러악성스크립트가실행되게됩니다.
​

공격자는 사용자의 신뢰를 얻기 위하여 이메일 하이재킹 방식을 이용하여, 기존에 공격 타깃이 다른 사람과 주고받았던 정상 이메일 내 악성슬롯 꽁 머니 첨부파여 전달하는 방식으로 악성 메일을 전송합니다.

수상한 이메일 내용 하단에 정상 이메일의 내용이 포함되어 있기에 많은 사용자들이 큰 의심없이 첨부슬롯 꽁 머니 실행할 가능성이 높습니다.

사용자가 이메일에 첨부되어 있는 원노트 슬롯 꽁 머니 실행하면 다음과 같은 화면이 보이며 [Open] 버튼을 더블클릭 하라고 안내합니다.

[Open] 버튼 하단에는 악성 명령어가 포함된 hta 슬롯 꽁 머니이 숨겨져 있으며, 한번 클릭하였을 때에는 hta 슬롯 꽁 머니이 실행되지 않지만, 더블 클릭 할 경우 하단에 숨겨져 있던 hta 슬롯 꽁 머니이 선택되며 실행되게 됩니다.

만약 사용자가 원노트 슬롯 꽁 머니에서 띄우는 경고창을 무시하고 [확인] 버튼을 누른다면, hta 슬롯 꽁 머니 내 악성 명령어가 정상적으로 실행되게 됩니다.

파일이실행되면공격자서버에접속하여.dat슬롯 꽁 머니내려받는데,해당파일은정상파일에악성데이터를인젝션하여최종적으로QBot악성코드를실행합니다.

QBot 슬롯 꽁 머니는 사용자 PC 내에서 실행 후 사용자 정보 수집 및 전송할 뿐만 아니라, C&C를 통하여 추가적으로 슬롯 꽁 머니를 내려받을 수 있어 주의가 필요합니다.

현재 알약에서는 해당 악성슬롯 꽁 머니들에 대해Trojan.Downloader.Script.gen로 탐지중에 있으며 지속적인 모니터링 중에 있습니다.

IoC

a24cf20d48d99fa5026d1f0ecd6f20d3
bf2fcea6984cabfd4e5e64b3d79cc4de

a96285705694d055e73bdcfb89483ee3