2019년 10월 22일 오전, 국내 기업에 특정 회계법인을 위장한 악성 메일이 유포되어 기업 사용자 여러분들의 주의가 필요합니다. 

이번 공격 역시 최근 공격을 재개한 TA505 조직의 소행으로 추정되고 있습니다. 

해당 악성메일에는 첨부파일 대신 드롭박스 링크가 포함되어 있습니다. 

[그림 1] 드롭박스 링크가 포함된 악성 메일

사용자가 해당 드롭박스 링크를 클릭한다면, 악성 매크로가 포함된 .xls 파일이 내려받아지며 엑셀 파일에서 매크로를 실행할 경우, 아래의 경로에 DLL 파일을 드롭 및 로드하는 기능이 수행됩니다.

[그림 2] 매크로에서 ‘libDxdiag1.dll’ 로드 코드

로드된 ‘libDxdiag1.dll’은 ‘https://windows-service-en[.]com/f2121’에 연결하여 감염 PC 정보 전송 및 다운로더 기능을 수행합니다. 

정보 전송 목록에는 컴퓨터 이름, 사용자 이름, 운영체제 정보, 현재 실행 중인 프로세스 이름이 포함됩니다.

 [그림 3] 감염 PC 정보 전송 화면

분석 시점에서 공격자의 C&C 연결이 이루어지지 않았지만, 만일 C&C에서 다운로드가 이루어진다면 2차 피해가 발생할 수 있어 사용자들의 각별한 주의가 필요합니다.

[그림 4] 다운로드된 파일 드롭 및 실행 코드

현재 알약에서는 해당 악성코드에 대해 Trojan.Downloader.XLS.gen로 탐지중에 있습니다.