* 출처는 안랩입니다.
최근 송금 확인서로 위장한 피싱 메일을 통해 원격제어 악성코드인 Remcos RAT이 유포된 사례가 확인됐다. 공격자는 국내 특정 기업의 직원을 사칭하고, 결제 관련 내용을 담은 엑셀 파일(XLS)을 첨부해 수신자의 실행을 유도했다. 문서를 열면 정상적인 송금 확인서가 나타나지만, 백그라운드에서는 취약점 악용과 추가 악성코드 다운로드가 연이어 진행된다. 송금 확인서를 가장한 피싱 메일의 공격 과정과 피해를 예방하기 위한 대응 방법을 살펴보자.

송금 확인서로 위장한 악성 엑셀 파일
사용자가 첨부된 XLS 파일을 내려받아 실행하면, [그림 2]와 같이 정상적인 송금 확인서 내용이 표시된다. 그러나 이는 사용자의 의심을 줄이기 위한 미끼 문서(Decoy)로, OLE 객체를 악용한 CVE-2017-0199 취약점을 포함한다. 해당 취약점은 Microsoft Office의 OLE2Link 기능을 악용한 원격 코드 실행(RCE) 취약점으로, 사용자가 문서를 열면 외부 URL에 자동으로 접근해 HTA 등 추가 악성 파일을 다운로드하고 실행할 수 있다.

[그림 1] 피싱 이메일 본문
HTA 다운로드 C2
- hxxp://144.172.104[.]196/35/smallbackpackcomingfromthebestplaces.hta

[그림 2] 미끼 내용으로 위장한 악성 xls 파일

[그림 3] CVE-2017-0199 취약
* 전체내용은 아래에서 확인하세요.







