OneNote 파일 첨부한 원격제어 악성코드 이메일로 유포

OneNote 프로그램이 설치돼 있지 않다면 실행할 수 없다는 한계도 존재

[보안뉴스 김영명 기자] 마이크로소프트 OneNote 파일을 이용해 원격제어 악성코드인 AsyncRAT이 유포되는 정황이 포착돼 프로그램 사용자들의 각별한 주의가 요구된다. 이번 공격에서 특히 주목할만한 점은, 스팸메일 내 OneNote 파일(.one)을 첨부해 공격을 시도했다는 점이다. ‘.one’ 확장자는 공격자들이 즐겨 사용하지 않는 확장자로, 사용자들이 정상 파일로 인지해 실행할 가능성이 있어 주의가 필요하다.

▲Invoice를 위장한 스팸 메일[자료=이스트시큐리티 ESRC]

이스트시큐리티 시큐리티대응센터(이하 ‘ESRC’)에 따르면, ‘.one’ 확장자는 OneNote 파일이며, 사용자 PC에 OneNote가 설치돼 있다면 실행이 가능하지만 OneNote가 설치돼 있지 않다면 실행할 수 없는 한계가 존재한다. 만일 사용자가 메일에 첨부돼 있는 ‘Invoice-****.one’ 파일을 실행하면 파일 화면을 위장한 미끼 화면과 함께 ‘CLICK TO VIEW DOCUMENT’을 보여주며 사용자의 클릭을 유도한다.

▲.one 첨부파일 실행 화면(좌)과 그림상자 뒤에 숨어있는 HTA 실행파일(우)[자료=이스트시큐리티 ESRC]

사실 ‘CLICK TO VIEW DOCUMENT’는 공격자가 그림상자를 이용해 팝업처럼 보이게 제작한 것으로, 해당 그림상자 아래는 HTA(HTML 응용프로그램) 파일이 숨어 있다. 사용자가 해당 그림상자를 클릭하면 경고창이 뜨게 되는데, 이때 ‘확인’ 버튼을 클릭하면 악성 스크립트가 동작하게 된다.

▲HTA 실행 시 경고 창(좌)과 HTA 내부 코드(우)[자료=이스트시큐리티 ESRC]

HTA 파일 내부 스크립트가 실행되면 백그라운드에서 파워쉘을 실행해 특정 서버로 접속한 후, cornell_notes.one, inv.bat 2개의 파일을 내려받는다. 이때 내려받는 파일은 각각 %temp% 폴더에 invoice.one, system32.bat 파일명으로 저장, 실행된다. invoice.one 파일은 정상 OneNote 파일로, 사용자에게 정상 파일을 보여줘 의심을 피하고자 시도한다.

▲다운로드된 정상 invoice.one 파일(좌)과 백그라운드에서 실행되는 명령어(우)[자료=이스트시큐리티 ESRC]

동시에 백그라운드에서는 system32.bat 파일을 실행하고, 파워쉘을 이용한다. 이후 다음과 같은 명령어를 실행해추가 페이로드를 내려받는다. 최종 페이로드는 AsyncRAT으로, 실행 후에는 △사용자 시스템 정보 △백신 목록 △OS △사용자 이름 △설치 프로그램 목록 △실행 환경 등의 정보를 수집해 전송하며, 명령제어(C2) 서버에 주기적으로 접속해 공격자의 명령 하달을 대기한다.

▲수집하는 사용자 정보 목록[자료=이스트시큐리티 ESRC]

이스트시큐리티 ESRC 관계자는 “수상한 이메일 내 첨부파일의 열람은 지양해야 하며 알약과 같은 백신을 설치해 악성코드 공격에 대비해야 한다”고 밝혔다.
[김영명 기자(boan@boannews.com)]

보안전문 기자들이 뽑은 2023년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
	보안에서 진짜 ‘핫’한 제로트러스트와 공급망 보안
	전문화, 분업화로 더욱 심해지는 랜섬웨어 공포
	2023년 클라우드 생태계를 위협할 다양한 보안이슈들
	전 국민이 사용하는 스마트폰, 2023년 해커의 집중 타깃
	피싱 공격, 새로운 서비스형 위협 ‘PhaaS’로 더 악랄해지다
	2022년 말에 터진 서명키 탈취사건, 2023년의 서막에 불과하다
	밀집도 모니터링, 지능형 CCTV와 영상분석 트렌드 주도
	주 52시간 근무제 달라지나? 정부 정책 따라 출입·근태 인증 보안 시장 요동
	메타버스, 주목받는 만큼 증가하는 보안위협
	스마트농업 육성 본격화, 보안과 안전 기반 하에 추진돼야