최신 보안 동향

코로나와 관련된 내용으로 위장한 악성코드

TACHYON & ISARC 2021. 2. 8. 09:18

전 세계가 코로나19 바이러스 감염증으로 많은 주의와 관심을 가지는 가운데, 이를 이용한 사회공학기법 악성코드가 크게 증가하고 있는 추세이다. 최근에는 북한에 대한 내용으로 코로나 19 관련 뉴스를 위장한 문서가 유포되었다. 해당 문서는 “Pyongyang stores low on foreign goods amid North Korean COVID-19 paranoia”라는 제목을 가진 워드 문서이다. 문서 본문의 내용은 "NK NEWS" 에서 발표한 내용과 동일하지만, 문서 내부에 포함된 페이로드가 실행되면 악성파일을 다운로드한다. 해당 악성파일은 사용자 PC의 정보를 탈취하는 Amadey 악성코드로, 2019년부터 현재까지 지속적으로 나타나는 악성코드이기에 주의가 필요하다.

 

해당 문서는 하기의 이미지와 같이 문서의 내용을 가려 사용자가 매크로를 허용하도록 유도하며, 콘텐츠 사용을 클릭하면 악성 매크로가 실행되고 문서의 내용도 보여진다.

[그림  1]  악성 문서

 

난독화된 매크로는 C&C 서버에 연결하여 Amadey 악성코드를 다운로드하고 실행하는 페이로드를 포함하고 있다.

[그림  2]  문서의 매크로 일부

 

현 분석시점에서는 다운로드 서버에 연결이 되지 않는다.

[그림  3]  서버 연결 패킷

 

만약 위의 서버에 연결되어 Amadey 악성코드가 피해자의 PC에 다운로드 된다면, 사용자 PC 정보를 탈취하여 원격지에 전송한다. 이때, 연결되는 원격지 서버 중 하나는 Microsoft 사가 북한 APT 그룹을 대상으로 하여 법적 제재를 가한 도메인이다.

[그림  4]  정보 송신 패킷

 

만일 사용자 PC에 백신이 존재한다면 Amadey 악성코드는 프로세스를 종료한다.

[그림  5]  백신 종류

 

[그림  6]  확인 코드

 

 

 

최근 코로나 관련 이슈를 악용하여 다양한 공격이 유포되고 있어 상당한 주의가 필요하다. 사용자가 PC를 보다 원활하고 안전하게 사용하기 위해서는 백신 제품을 설치하고 최신버전으로 업데이트를 진행하여야 한다. 또한 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안된다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

[그림  7] TACHYON Endpoint Security 5.0  진단 및 치료 화면