조지아 정부 기관으로 공격 대상을 확대한 스피어 피싱 캠페인

최근 COVID-19 이슈 또는 정부 관련 주제를 악용한 스피어 피싱 캠페인이 발견됐다. 해당 캠페인은 주로 메일을 이용해 사용자에게 악성코드를 유포하며, 해당 악성코드에 감염될 경우 사용자 PC의 파일을 공격자에게 전송한다. 또한, 우크라이나 정부 기관에서 조지아로 공격 대상을 확대한 정황도 발견됐다.

 

 

스피어 피싱 캠페인 유포 사례

2021년 5월에 우크라이나 정부 기관을 대상으로 진행된 공격에서는 [그림 1]의 방식으로 진행됐다.

 

[그림 1] 2021년 5월 우크라이나 정부 기관 대상 공격

 

1.    피싱 메일 본문에 삽입된 링크에서 파일을 다운로드 한다.

2.    다운로드한 압축 파일 내부의 RTF 문서 파일을 실행한다.

3.    문서 파일 내부의 매크로가 실행돼 정보 탈취를 위한 악성코드를 다운로드 및 실행한다.

 

6월부터는 조지아 정부를 대상으로 공격 범위를 확대했으며, 윈도우 시스템에서 사용하는 제어판 설정 파일인 CPL(Control Panel)을 사용해 최종 페이로드를 다운로드하고 실행한다.

 

[그림 2] 2021년 6월 조지아 정부 기관 대상 공격

 

1.    피싱 메일에 첨부된 파일(PDF)을 다운로드 한다.

2.    다운로드한 PDF의 링크를 클릭하면 CPL 확장자를 지닌 파일을 다운로드한다.

3.    CPL 파일을 실행하면 정보 탈취를 위한 악성코드 다운로드를 시도한다.

4.    이후, 최종 페이로드를 실행하면 사용자 PC의 파일을 공격자의 C&C 서버로 전송한다.

 

2021년 7월 : 조지아 정부 기관 대상 공격

최근 7월에 발견된 문서 또한 조지아 정부를 대상으로 공격했으며, 6월과 달리 문서 파일의 매크로를 사용해 악성코드를 다운로드 및 실행한다.

 

[그림 3] 2021년 7월 조지아 정부 기관 대상 공격

 

1.    피싱 메일 본문에 삽입된 링크에서 문서 파일을 다운로드 한다.

2.    다운로드한 문서 파일을 실행하면 내부에 작성된 매크로가 실행돼 공격자의 C&C 서버에서 파일을 다운로드한다.

3.    다운로드한 파일은 최종적으로 사용자 PC의 파일을 공격자의 C&C 서버로 전송한다.

 

메일에 삽입된 링크에서 다운로드 받은 문서는 [그림 4]와 같이 COVID-19 이슈와 관련된 내용이 작성 돼 있으며, 문서 내부의 매크로를 실행하면 공격자의 C&C 서버에서 파일을 다운로드한다.

 

[그림 4] COVID-19 이슈를 악용한 문서 및 파일 다운로드 매크로

 

다운로드한 파일은 정보 탈취 목적으로 만들어진 악성코드로 실행하면 사용자의 파일을 수집한 후 공격자의 C&C 서버에 전송한다.

 

[그림 5] 파일 수집 및 전송 코드

 

공격자 C&C 서버로 전송하는 파일의 경로는 사용자의 홈 디렉토리이며 대상 확장자는 [표 1]과 같다.

 

[표 1] 파일 수집 대상

 

[그림 6]은 [표 1]의 조건에 해당하는 파일을 공격자 C&C 서버로 전송한 패킷이다.

 

[그림 6] 파일 전송 패킷

 

마지막으로 [그림 7]과 같이 배치파일을 생성해 자가 삭제한 후, 프로세스를 종료한다.

 

[그림 7] 배치 파일 생성 및 자가 삭제

 

최근 특정 대상을 공격하기 위해 사용하는 스피어피싱(Spear-Phishing) 사례가 발견되고 있으므로 주의가 필요하다.   이러한 피싱 공격의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하여 업데이트를 진행하고, 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안된다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 8] TACHYON Internet Security 5.0 진단 및 치료 화면