국내 기업, 기관을 대상으로 대량 유포중인 송장/인보이스 사칭 카지노 칩 이메일 주의!
2019년 02월 19일 송장 혹은 인보이스 내용처럼 위장한 카지노 칩 이메일이 국내 기업과 기관 등을 대상으로 대량 확산되고 있어 사용자들의 각별한 주의가 필요합니다.
ESRC에서는 지난 14일에 이와 유사한 초기 공격 사례를 공개해 드린 바 있는데, 이번 공격도 같은 위협의 연장선으로 보고 있습니다.
유출된 소스코드 기반으로 제작된 카지노 칩코드 유포 주의 (2019.02.14)
실제 유포된 일부 이메일을 살펴보면 아래와 같이 한글로 된 발신자 명과 한국 웹 사이트 도메인 계정 등이 악용되었습니다.
얼핏 보면 실제 한국에서 보내진 이메일로 오해할 수 있을 만큼 나름 정교하게 만들어져 있습니다.
[그림 1] 송장을 사칭한 카지노 칩 이메일 화면
카지노 칩 이메일 본문에는 간단한 서명내용과 '송장_xxx' 혹은 '인보이스 xxx' 파일명을 가진 'doc' 혹은 'xls' 파일이 첨부되어 있습니다.
또한, 이번 카지노 칩 이메일 중에 일부는 수신된 날짜가 2018년 10월 16일로 표기된 경우가 있는데, 실제 이메일 헤더를 비교해 본 결과 수신된 날짜는 조작된 것으로 확인되었습니다.
[그림 2] 이메일 헤더의 발신날짜 비교 화면
카지노 칩 이메일 수신자가 첨부되어 있던 문서파일을 열람할 경우 아래와 같이 '보안 경고' 메시지와 함께 매크로 실행을 유도하게 됩니다.
만약, 이용자가 [콘텐츠 사용] 버튼을 클릭하게 되면 파일 내부에 포함된 카지노 칩 명령어가 작동하게 됩니다.
최근 카지노 칩 매크로 기능을 이용한 사이버 공격이 지속적으로 증가하고 있으므로, 이메일 등으로 수신한 MS 오피스 문서파일에서 [콘텐츠 사용] 활성화를 유도할 경우 보안위협에 노출될 위험성이 높습니다.
[그림 3] 카지노 칩 매크로가 포함된 doc 문서파일 실행 화면
카지노 칩 문서에는 최대한 카지노 칩 매크로를 실행하도록 하기 위해 한글로 표현된 본문을 보여주게 됩니다.
그런데 이 표현에는 다소 어눌하고 부자연스런 한글 내용을 담고 있습니다.
Microsoft Office 와 관련이없는 응용 프로그램을 사용하여 작성된 문서 보기/편집하려면 다음 단계를 수행하십시오.
위의 노란색 막대에서 수정 버튼 사용을 클릭하십시오.
수정을 활성화 한 후 위의 노란색 막대에서 콘텐츠 사용 버튼을 클릭하십시오.
[그림 4] excel 파일 내에 포함되어 있는 카지노 칩 매크로 명령어 화면
전체적인 동작 방식은 기존에 이스트시큐리티에서 작성했었던 유출된 소스코드 기반으로 제작된 카지노 칩코드 유포 주의 포스팅 내용과 동일하게 185.17.120.235 서버에 접속하여 카지노 칩 파일을 내려받고, 추가로 최종 페이로드인 'wsus.exe' 카지노 칩파일을 내려받습니다.
[그림 5] 카지노 칩 exe 파일에 포함된 유효한 디지털서명
하지만 이 전에 포스팅 했던인보이스를 위장한 카지노 칩메일보다 더 진화한 점은, 카지노 칩 exe 파일에 유효한 디지털 서명을 포함하고 있다는 사실입니다.
카지노 칩파일의 속성정보에는 'IBM Controler System Security Control' 내용을 넣어 마치 정상적인 프로그램처럼 위장하는데 악용하였습니다.
이렇게 유효한 디지털 서명을 추가하면, 마치 신뢰할 수 있는 정상 프로그램처럼 위장해 화이트리스트 기반의 보안제품을 우회하는데 악용될 수 있습니다.
기업 및 기관 보안 담당자 분들께서는 c2 서버인 185.17.120.235 차단을 통해 피해를 최소화 해주시고, 사용하시는 백신프로그램을 항상 최신으로 유지해 주시기 바랍니다.
현재 알약에서는 해당 카지노 칩코드에 대해
Trojan.Downloader.W97M.Gen, Trojan.Downloader.XLS.gen Backdoor.Agent.RAbased등으로 탐지 중에 있습니다 .