OneNote 파일 첨부한 원격제어 악성코드 이메일로 유포

OneNote 프로그램이 설치돼 있지 않다면 실행할 수 없다는 한계도 존재

[보안뉴스 김영명 기자] 마이크로소프트 OneNote 파일을 이용해 원격제어 악성코드인 AsyncRAT이 유포되는 정황이 포착돼 프로그램 사용자들의 각별한 주의가 요구된다. 이번 공격에서 특히 주목할만한 점은, 스팸메일 내 OneNote 파일(.one)을 첨부해 공격을 시도했다는 점이다. ‘.one’ 확장자는 공격자들이 즐겨 사용하지 않는 확장자로, 사용자들이 정상 파일로 인지해 실행할 가능성이 있어 주의가 필요하다.

▲Invoice를 위장한 스팸 메일[자료=이스트시큐리티 ESRC]

이스트시큐리티 시큐리티대응센터(이하 ‘ESRC’)에 따르면, ‘.one’ 확장자는 OneNote 파일이며, 사용자 PC에 OneNote가 설치돼 있다면 실행이 가능하지만 OneNote가 설치돼 있지 않다면 실행할 수 없는 한계가 존재한다. 만일 사용자가 메일에 첨부돼 있는 ‘Invoice-****.one’ 파일을 실행하면 파일 화면을 위장한 미끼 화면과 함께 ‘CLICK TO VIEW DOCUMENT’을 보여주며 사용자의 클릭을 유도한다.

▲.one 첨부파일 실행 화면(좌)과 그림상자 뒤에 숨어있는 HTA 실행파일(우)[자료=이스트시큐리티 ESRC]

사실 ‘CLICK TO VIEW DOCUMENT’는 공격자가 그림상자를 이용해 팝업처럼 보이게 제작한 것으로, 해당 그림상자 아래는 HTA(HTML 응용프로그램) 파일이 숨어 있다. 사용자가 해당 그림상자를 클릭하면 경고창이 뜨게 되는데, 이때 ‘확인’ 버튼을 클릭하면 악성 스크립트가 동작하게 된다.

▲HTA 실행 시 경고 창(좌)과 HTA 내부 코드(우)[자료=이스트시큐리티 ESRC]

HTA 파일 내부 스크립트가 실행되면 백그라운드에서 파워쉘을 실행해 특정 서버로 접속한 후, cornell_notes.one, inv.bat 2개의 파일을 내려받는다. 이때 내려받는 파일은 각각 %temp% 폴더에 invoice.one, system32.bat 파일명으로 저장, 실행된다. invoice.one 파일은 정상 OneNote 파일로, 사용자에게 정상 파일을 보여줘 의심을 피하고자 시도한다.

▲다운로드된 정상 invoice.one 파일(좌)과 백그라운드에서 실행되는 명령어(우)[자료=이스트시큐리티 ESRC]

동시에 백그라운드에서는 system32.bat 파일을 실행하고, 파워쉘을 이용한다. 이후 다음과 같은 명령어를 실행해추가 페이로드를 내려받는다. 최종 페이로드는 AsyncRAT으로, 실행 후에는 △사용자 시스템 정보 △백신 목록 △OS △사용자 이름 △설치 프로그램 목록 △실행 환경 등의 정보를 수집해 전송하며, 명령제어(C2) 서버에 주기적으로 접속해 공격자의 명령 하달을 대기한다.

▲수집하는 사용자 정보 목록[자료=이스트시큐리티 ESRC]

이스트시큐리티 ESRC 관계자는 “수상한 이메일 내 첨부파일의 열람은 지양해야 하며 알약과 같은 백신을 설치해 악성코드 공격에 대비해야 한다”고 밝혔다.
[김영명 기자(boan@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다