Home > 전체기사

LockBit 랜섬웨어 유포 조직, 워드 파일 형태로 아마디 봇 추가 유포중

  |  입력 : 2022-11-02 18:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
기존 록빗 랜섬웨어 유포방식과 동일...입사지원서로 위장
금전적 취득 이외에 사용자 계정정보 탈취해 다양한 공격 시도할 것으로 추정


[보안뉴스 김영명 기자] 최근 이력서를 위장한 워드파일 형태로 록빗(LockBit) 랜섬웨어를 유포하던 조직이 LockBit 랜섬웨어와 함께 아마디 봇(Amadey Bot)을 추가로 유포하고 있는 것으로 파악됐다. 아마디 봇은 공격자의 명령을 받아 정보 탈취나 추가 악성코드를 내려받는 등의 역할을 하는 악성코드다.

▲Word 실행 시 자동으로 다운로드 되는 아마디 봇 악성코드[이미지=ESRC]


이스트시큐리티 시큐리티대응센터(이하 ESRC)는 아마디 봇이 추가로 유포되는 것과 관련해 아직 유포 방식이 확인되지 않았지만, 수집된 파일들이 △심시아.docx △임서은.docx △임규민.docx 등의 이름을 사용하는 것으로 봤을 때 입사지원서를 위장한 피싱 메일 형태로 유포되고 있는 것으로 추정된다고 밝혔다.

ESRC가 현재까지 발견한 샘플은 모두 악성 매크로가 포함된 워드파일 형태로 유포되고 있으며, 이는 기존에 LockBit 랜섬웨어가 사용한 유포 방식과 동일했다. 또한, 사용자가 악성 워드 파일을 실행하면, 최초 프로그램 실행 시 원격 템플릿 주입(Remote Template Injection) 기술을 사용해 ‘188.34[.]187.110/v5sqpe.dotm’이 실행된다.

▲VBA 매크로 코드(좌)와 skeml.lnk 파일(우)[이미지=ESRC]


자동으로 다운로드 된 ‘v5sqpe.dotm’ 파일에는 VBA 매크로가 포함돼 있으며. 사용자가 ‘매크로를 사용할 수 없도록 설정했습니다’라는 보안경고 메시지에서 [콘텐츠 사용] 버튼을 누르면, v5sqpe.dotm 파일 내 포함돼 있는 VBA 매크로가 실행되며 C:\Users\Public 경로에 skeml.lnk 파일을 생성하며 실행한다. 

skeml.lnk 파일이 실행되면 인자에 포함된 forfiles.exe 파일을 통해 1234.exe 파일을 내려받고 실행된다. 1234.exe 파일은 다운로더로, 실행 후 C&C에서 cred.dll 파일을 내려받는다.

▲사용자 정보 전송 코드(좌)와 스크린샷 전송코드(우)[이미지=ESRC]


cred.dll 파일은 실행 후 감염시킨 PC의 ID값, 사용자 이름, 컴퓨터 이름 등의 정보를 탈취해 명령제어(C&C) 서버로 전송하게 되는데, 전송할 때 Amadey Parameter(id, vs, os, bi, ar, pc, un, av, lv 등)가 사용된다. 이와 함께 현재 컴퓨터 화면의 스크린샷과 프로그램의 계정정보도 함께 전송한다.

▲Amadey Bot 로그인 페이지[이미지=ESRC]


이때 계정정보를 탈취하는 프로그램 목록은 △WinBox △OutLook △FileZilla △Pidgin △TotalCommandFTP △RealVNC △TightVNC △TigerVNC △WinSCP 2 등이다.

▲최종으로 실행되는 LockBit 랜섬웨어 랜섬노트[이미지=ESRC]


매크로가 포함된 워드파일을 통한 록빗 랜섬웨어 유포는 국내에서 지속해서 발견되고 있는 공격 방식이다. 다만, 이번에 발견된 파일은 기존 록빗 유포 단계에서 Amadey Bot 유포 단계를 추가한 변형이다. 공격자들이 랜섬머니를 통한 금전적 이득 이외에 사용자 계정정보 탈취를 통해 추가 공격을 시도할 것으로 추정되고 있다.

현재 알약에서는 해당 악성코드들에 대해 △Trojan.Agent.LNK.Gen △Trojan.Agent.Amadey △Trojan.Downloader.DOC.Gen 등으로 탐지 중에 있다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 23년 1월12일 수정 위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2023년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
보안에서 진짜 ‘핫’한 제로트러스트와 공급망 보안
전문화, 분업화로 더욱 심해지는 랜섬웨어 공포
2023년 클라우드 생태계를 위협할 다양한 보안이슈들
전 국민이 사용하는 스마트폰, 2023년 해커의 집중 타깃
피싱 공격, 새로운 서비스형 위협 ‘PhaaS’로 더 악랄해지다
2022년 말에 터진 서명키 탈취사건, 2023년의 서막에 불과하다
밀집도 모니터링, 지능형 CCTV와 영상분석 트렌드 주도
주 52시간 근무제 달라지나? 정부 정책 따라 출입·근태 인증 보안 시장 요동
메타버스, 주목받는 만큼 증가하는 보안위협
스마트농업 육성 본격화, 보안과 안전 기반 하에 추진돼야