[악성코드 분석]화제의 여객기 사고 관련 정보로 위장한 피싱 메일 주의

화제의 여객기 사고 관련 정보로 위장한 피싱 메일 주의

1. 개요

얼마 전, 외국 보안 회사 360 Threat Intelligence Center 에서 트위터를 통해 보잉 737 여객기 추락 사고와 관련된 피싱 메일 캠페인이 발견되었다고 발표하였다. 피싱 메일에는 “다크웹에서 보잉 여객기 사고와 관련된 정보가 유출되었다.” 라고 언급하며 정보 탈취 기능을 가진 악성 첨부 파일을 실행하도록 유도하고 있다. 이 중 일부 메일은 국내 회사를 표적으로 발송되어 주의가 필요하다.
이번 보고서에서는 보잉 여객기 피싱 메일의 악성 동작에 대해 알아보고자 한다.

 

출처 : https://twitter.com/360TIC/status/1106524508612026369

 

 

[그림 1] 보잉 여객기 관련 피싱 메일

 

 

 

 

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	MP4_142019.jar
파일크기	644,026 bytes
악성동작	정보 탈취

 

 

2-2. 유포 경로

 

해당 파일은 보잉 여객기 추락 사고와 관련된 피싱 메일을 통해 유포되고 있다. 피싱 메일에는 추락 사고의 개요와 다크웹에서 관련 항공사의 리스트가 유출되었다는 이야기와 함께 악성 첨부 파일을 실행하도록 유도하고 있다.

2-3. 실행 과정

첨부된 악성 파일 실행 시 “%APPDATA%” 경로에 vbs 확장자 파일과 jar 확장자 파일을 생성하고 실행한다. vbs 확장자 파일은 H-Worm으로 알려진 악성 RAT 파일이며, jar 확장자는 Adwind로 알려진 정보 탈취 기능을 가진 트로잔 파일이다. 두 파일 모두 Run 레지스트리에 스스로를 등록하여 시스템 재부팅 후에도 동작할 수 있도록 설정하고, C&C 서버와 통신을 시도하며 악성 행위를 실행한다.

 

 

 

3. 악성 동작

3-1. 악성 파일 드랍

피싱 메일에 첨부된 jar 파일을 실행하면 시스템의 “%APPDATA%” 경로에 H-Worm(vbs 파일)과 Adwind(jar 파일)를 생성한다. 이후 각각의 악성 파일을 실행하여 악성 동작을 개시한다.

 

 [그림 2] %APPDATA% 경로의 H-Worm과 Adwind 파일

 

3-2. 시스템 재부팅 시 자동 실행 등록

각각 실행된 H-Worm과 Adwind는 Run 레지스트리에 자신을 등록하여 시스템 재부팅 시에도 자동으로 실행될 수 있도록 설정한다. 또한 H-Worm은 추가로 Startup 폴더에 자신을 복제하여 시스템 재부팅 시 재실행되도록 한다. 

 [그림 3] Run 레지스트리에 등록된 H-Worm과 Adwind

 

 

 

 [그림 4] Startup 폴더의 H-Worm 파일

 

3-3. C&C 서버와 통신

H-Worm 과 Adwind 는 각각 설정된 C&C 서버와 통신을 시도하며, 수신 받는 명령을 수행한다. 두 악성 파일은 정보 탈취, 파일 업로드 및 다운로드, 프로세스 실행 및 종료 등과 같이 일반적인 백도어 기능을 수행할 수 있다. [그림 5]는 H-Worm 이 C&C 서버와 통신하는 패킷의 일부이며, 시스템 정보를 전송하고 대기 명령을 수신 받는 모습이다.

 [그림 5] H-Worm 통신 패킷 일부

 

 

4. 결론

피싱 메일은 최근 화제나 경고성 문구를 포함하여 사용자가 첨부 파일, 악성 링크를 클릭하도록 유도하기 때문에 수신자가 신뢰할만한 상대인지 확인할 필요가 있다. 이번에 첨부된 jar 확장자 파일은 시스템에 Java가 설치되어야만 실행 가능하기 때문에 일반 사용자는 감염 가능성이 낮지만, 일부 Java 를 설치한 사용자나 서버에서는 감염될 가능성이 있기 때문에 주의가 필요하다.