운송, 견적, 발주 등의 무역과 관련된 다양한 내용이 담긴 악성 메일이 국내에 지속적으로 유포되고 있어 이용자들의 주의를 당부드립니다.

이번에 수집된 메일은 메일에 첨부된 운송 관련 서류의 열람을 유도하는 내용을 담고 있습니다.

[그림 1] 운송 서류 확인 악성 메일

악성 메일에 첨부된 파일 'BL-PL-INV-8289278827882637267277272.ace'에는 악성 파일 'BL-PL-INV-8289278827882637267277272.scr'가 있습니다. 만일 이용자가 무역 관련 문서인 것처럼 생각하여 파일을 실행할 경우, 악성코드가 실행이 됩니다. 

[그림 2] 첨부된 'BL-PL-INV-8289278827882637267277272.ace' 악성 파일

악성코드가 실행되면 현재 실행 중인 자기 자신 프로세스의 경로가 '%TEMP%\subfolder\filename.scr'와 동일한지 확인합니다. 동일한 경우, 자기 자신을 자식 프로세스로 실행하고 'NanoCore 원격 제어 악성코드를 로드하는 악성 프로그램'을 인젝션합니다. 

하지만 경로가 다른 경우, '%TEMP%' 경로에 'subfolder' 폴더를 생성하고, 폴더 하위에 'filename.scr'와 'filename.vbs' 파일을 생성합니다. 'filename.scr'는 자가 복제된 악성 파일이고, 'filename.vbs'는 자동 실행 레지스트리에 'Registry Key Name' 값으로 자기 자신(filename.vbs) 등록 및 자가 복제된 'filename.scr' 악성 프로그램을 실행하는 악성 스크립트 파일입니다.

다음은 생성된 'filename.vbs'를 실행하는 코드입니다. 'filename.vbs'가 실행된 뒤, 현재 실행 중인 프로세스는 종료됩니다.

[그림 3] 'filename.vbs' 실행 코드

'filename.vbs' 코드는 다음과 같습니다.

[그림 4] 'filename.vbs' 코드

최종적으로 인젝션되어 실행되는 자식 프로세스(filename.scr)에서는 NanoCore 악성코드가 실행되며, 키로깅 기능 및 C&C(160.202.163.200) 연결 이후 원격 제어 기능(봇 기능)을 수행합니다. C&C 연결 코드 및 키로깅 코드는 다음과 같습니다.

[그림 5] C&C 연결 코드

[그림 6] 키로깅 코드

키로깅된 데이터들은 '%APPDATA%\[MachineGUID 값]\Logs\[사용자 계정 이름]\KB_[임의의숫자 6~7자리].log' 파일에 저장됩니다.

[그림 7] 키로깅 데이터가 저장된 파일

다음은 봇 기능입니다. 봇 기능에는 키로깅한 데이터를 서버로 전송하는 기능, 감염 PC의 DNS 캐시 정보를 가져오는 기능 등이 있습니다. 만일 C&C와 통신이 이루어졌을 경우, 이용자가 무심결에 연 악성코드에 의해 공격자는 원격으로 PC를 제어할 수 있어 피해가 발생할 수 있습니다. 

[그림 8] 봇 코드

관련하여 운송 관련 내용 외에도 구매 주문서, 견적, 선적 서류 확인 내용으로도 유포되고 있습니다.

[그림 9] 첨부된 견적서 확인 악성 메일

[그림 10] 제품 도면 확인 악성 메일

추가적으로 빨간 강조색을 사용하여 마치 진짜 담당자가 보낸 것처럼 위장한 사례도 있습니다.

[그림 11] 제품 도면 확인 악성 메일 사례

앞서 언급한 NanoCore 악성코드가 첨부된 악성 메일 등의 사례를 봤을 때, 무역 관련 내용으로 위장한 악성 메일이 꾸준히 국내에 유포되고 있음을 알 수 있습니다. 특히나 무역 관련 종사자가 메일에 첨부된 악성코드를 실행할 경우 금전 등의 피해가 발생할 수 있어 주의가 필요합니다. 따라서 악성코드에 감염이 되지 않기 위해 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가시기 바랍니다.

해당 악성코드는 현재 알약에서 'Trojan.Agent.884736M, Spyware.Pony, Trojan.Agent.D0600'로 진단하고 있습니다.