Home > 전체기사
넷서포트 매니저의 악성 버전, 코로나 피싱 메일 타고 번져
  |  입력 : 2020-05-26 09:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
원격 관리 도구인 넷서포트, 오래 전부터 공격자들 사이에서 악용되어 와
최근 코로나 피싱 메일 통해서도 악성 버전 퍼지는 중...C&C와 연결해 명령 실행


[보안뉴스 문가용 기자] 원격 접근 도구인 넷서포트 매니저(NetSupport Manager)를 퍼트리는 스피어피싱 캠페인이 발견됐다. 넷서포트 매니저는 합법적인 관리 도구로, 원격 기술 지원 및 문제 해결에 주로 활용된다.

[이미지 = utoimage]


이번 스피어피싱 공격을 통해 번지는 넷서포트 매니저는 공격자들이 악의적으로 변경해둔 악성 버전이다. 현재 이 캠페인은 코로나 사태를 미끼로 한 이메일의 형태를 취하고 있으며, 첨부된 엑셀 파일을 통해 공격이 시작된다고 한다.

이런 캠페인에 대해 경고한 건 마이크로소프트다. 이곳의 보안 전문가들에 의하면 코로나를 미끼로 삼아 넷서포트 매니저를 퍼트리는 캠페인은 5월 12일부터 시작됐으며, 전부 엑셀 4.0 버전의 첨부파일이 연루되었다고 한다.

“악성 엑셀 파일 샘플은 수백 개로 확인이 되고 있으며, 난독화 기술이 두텁게 적용되어 있습니다. 피해자가 엑셀 파일을 열면 전부 한 URL로 연결이 되며, 거기서부터 페이로드가 다운로드 됩니다. 악성 엑셀 4.0 파일이 코로나 관련 피싱 공격에 연루된 건 지난 수개월 동안 서서히 증가하던 유행이며, 최근 몇 주 동안 폭발적으로 늘어났습니다.” MS가 여러 개의 트윗을 통해 밝힌 내용이다.

스피어피싱용 이메일은 현재 코로나는 물론 각종 질병을 연구하는 존스홉킨스센터(Johns Hopkins Center)에서 보낸 것처럼 꾸며져 있었다. 제목은 “세계보건기구 COVID-19 상황 보고서(WHO COVID-19 SITUATION REPORT)”이다.

이 이메일에는 위에서 언급된 엑셀 4.0 파일이 하나 첨부되어 있는데, 제목은 covid_usa_nyt_8702.xls와 같은 식으로 붙여져 있다. 피해자가 다운로드 받아 열면 팝업 창이 하나 뜨는데, 확인을 누를 경우 매크로가 다운로드 되며, 이를 통해 넷서포트 매니저 RAT가 실행된다.

MS의 분석에 의하면 “넷서포트 매니저는 예전부터 공격자들이 악용해온 것으로 유명한 도구”라고 한다. 또한 이번 공격에 활용되고 있는 버전의 경우 다량의 요소들을 피해자의 시스템으로 드롭시키는데, 이는 다음과 같은 것들을 포함하고 있다.
1) 여러 개의 dll 파일
2) 여러 개의 ini 파일
3) 여러 개의 exe 파일
4) 한 개의 VB스크립트
5) 난독화 처리된 파워스플로잇(PowerSploit) 기반의 파워셸 스크립트 하나

이런 요소들로 구성된 넷서포트 매니저는 C&C 서버와 연결한 채 다음 명령을 기다린다. MS는 트윗 스레드(https://twitter.com/MsftSecIntel/status/1262504873355964417)를 통해 이번 캠페인의 침해지표를 공유하기도 했다. MS는 얼마 전부터 코로나 바이러스를 미끼로 삼고 있는 피싱 공격의 첩보를 보안 업계와 공유하고 있기도 하다. 또한 MS는 얼마 전 ‘무료 코로나 검사’라는 제목을 가진 피싱 이메일 캠페인을 발견하기도 했다. 이 캠페인을 통해 트릭봇(TrickBot)이 퍼진다고 MS는 경고했다.

트릭봇은 현재 코로나를 미끼로 한 피싱 공격을 통해 가장 많이 확산되고 있는 멀웨어 중 하나라고 알려져 있다.

3줄 요약
1. 정상 관리 유틸리티인 넷서포트 매니저의 악성 버전이 현재 퍼지고 있음.
2. 주로 ‘코로나’를 미끼로 삼은 피싱 이메일의 첨부파일을 통해서임.
3. 악성 넷서포트 매니저는 RAT로서 C&C 서버와 연결해 여러 명령을 실행함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)