* 출처는 안랩입니다.
안랩이 최근 국내 유명 카드사 보안 메일로 위장한 악성 파일이 유포되는 정황을 확인했다.
이번 공격은 과거 김수키(Kimsuky) 그룹의 패스워드 파일 위장 악성 LNK 유포 사례와 유사한 흐름을 보이지만, 최초 LNK 파일에서 실행되는 명령어가 변경된 것이 특징이다. 특히 감염 환경의 보안 서비스 동작 여부에 따라 추가 파일 실행 및 악성 행위 방식이 달라지는 구조를 보였다.
이번 사례의 주요 동작과 사용자 주의사항을 살펴보자.
(출처: Masque - stock.adobe.com)
보안 서비스 동작 여부에 따라 달라지는 악성 행위
악성 LNK 파일에는 파워셸(PowerShell)을 통해 mshta 명령을 실행하는 구문이 포함돼 있다. 파일 실행 시 특정 주소에 존재하는 HTA 파일이 mshta.exe를 통해 실행되며, 해당 HTA 파일은 난독화된 VBScript 코드를 포함한다. 이후 정상 문서처럼 보이는 디코이 문서를 내려받아 실행해 사용자의 의심을 낮추는 흐름을 보인다.
[그림 1] 난독화된 VBScript
이후 악성코드는 Windows Defender 보안 서비스 동작 여부를 확인한 뒤, 환경에 따라 서로 다른 방식으로 추가 파일을 내려받고 실행한다.
Windows Defender 서비스가 동작 중인 환경에서는 Curl을 이용해 지정된 주소에서 pipe.log 파일을 %LocalAppData% 경로로 다운로드한다. 해당 파일은 AES로 암호화돼 있으며, 복호화 후 pipe.zip으로 저장된 뒤 압축이 해제된다.
pipe.zip 내부에는 [그림 2]와 같이 1.log, 1.ps1, 2.log 파일이 존재한다. 이들은 각각 정보 탈취 및 백도어 동작, 파일 내용을 읽은 뒤 메모리 상에서 Base64 디코딩 결과를 실행하는 기능, 키로깅, 클립보드 데이터 수집 기능을 수행한다.
[그림 2] pipe.zip 파일 내부
* 전체내용은 아래에서 확인하세요.
https://www.ahnlab.com/ko/contents/content-center/36179
![[다나와] 에이수스 16G노트북 가성비 사무용 15인치 인강용 직장인 주식 엑셀](http://img.danawa.com/images/attachFiles/7/16/6015591_1.jpg?fitting=Large|320:240&crop=320:240;*,*)
![[쿠팡] LG 인강용 대학생 노트북 가성비 사무용 15인치 재택근무 주식 엑셀 [115만원대]](https://img.danawa.com/images/attachFiles/7/16/6015563_18.png?fitting=Large|140:105&crop=140:105;*,*)
![[리뷰 상품] 루메나 더키친 FD20](https://img.danuri.io/catalog-image/116/134/088/03ae22fdd7d042068a23eb0f9f6557ff.jpg?fitting=Large|140:105&crop=140:105;*,*)
