Home > 전체기사

친환경 기능성 화학제품 제조사 타깃 국세청 홈택스 사칭 악성메일 유포

  |  입력 : 2022-09-08 16:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
국세청 홈택스 사칭하고 전자세금계산서 도용해 악성코드 유포 정황 포착
친환경 기능성 화학제품 직원 타깃...리눅스 이메일 클라이언트 이용해 송신자 주소 위조


[보안뉴스 김경애 기자] 최근 국세청 홈택스를 사칭하고 전자세금계산서를 도용해 악성코드를 유포한 정황이 포착됐다. 시큐아이 STIC 위협분석그룹에 따르면 해당 악성코드 첨부 피싱 메일은 친환경 기능성 화학제품을 제조하는 회사의 직원을 대상으로 발송됐으며, 리눅스 E-Mail 클라이언트를 이용해 송신자의 주소를 위조해 전송됐다.

▲위조된 E-mail 주소로 송신된 악성코드 첨부 피싱 메일 원본[자료=시큐아이]


해당 메일에 첨부된 파일은 이중 확장자를 가진 Portable executable 파일로, .pdf.exe라는 확장자를 가지고 있어 확장자 보기 옵션이 비활성화 되어 있는 경우 아래와 같이 PDF 확장자로 보이게 된다.

▲첨부된 악성 EXE 파일과 해당 파일에 삽입된 코드 사인 인증서[자료=시큐아이]


해당 악성코드는 Nullsoft Installer로 제작됐으며, 인스톨러를 통해 악성 DLL이 .Net framework의 코드 액세스 보안 도구를 실행해 추가적인 악성 바이너리를 인젝션한다. 인젝션 된 악성 바이너리는 구글 드라이브(Google Drive)에 업로드된 암호화 바이너리 모듈을 다운로드 받는다.

이후 다운로드 받은 바이너리를 복호화해 메모리에 적재한다. 다운로드 받은 바이너리는 NanoCore 백도어 바이너리와 플러그인 모듈, ZIP 압축 및 해제를 위한 LZMA 알고리즘의 C# 라이브러리인 LZMA# 라이브러리 등이 적재된다.

메모리에 적재된 NanoCore 백도어 라이브러리를 이용해 명령제어(C&C) 서버에 연결을 시도한다. 해당 악성 바이너리는 2개의 C&C 서버 주소를 가지고 있다. C&C 서버에 접속된 이후, 명령을 수신 받아 다음과 같은 악성행위를 수행한다.

▲특정 웹 브라우저의 인증 정보 탈취[자료=시큐아이]


▲특정 FTP 클라이언트의 인증 정보 탈취[자료=시큐아이]


▲지정 웹 서버 대상으로 Slowloris DDoS 공격 시도[자료=시큐아이]


시큐아이 STIC 위협분석그룹은 “국세청 홈택스 등의 중앙기관 중 특히 세금 납부, 조회에 관련된 기관으로부터 수신한 메일일지라도, 첨부된 파일이 옳바른 확장자를 가지고 있는지 확인해야 한다”고 당부했다. 이어 “악성코드로 인한 피해를 막기 위해서는 기관명으로 온 메일이더라도 메일 수신자 및 첨부파일을 한번 더 확인하는 등 적절한 보안 절차를 거쳐야 한다”고 조언했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)