[보안뉴스 / 9.8.] 친환경 기능성 화학제품 제조사 타깃 국세청 홈택스 사칭 악성메일 유포

국세청 홈택스 사칭하고 전자세금계산서 도용해 악성코드 유포 정황 포착
친환경 기능성 화학제품 직원 타깃…리눅스 이메일 클라이언트 이용해 송신자 주소 위조

[보안뉴스 김경애 기자] 최근 국세청 홈택스를 사칭하고 전자세금계산서를 도용해 악성코드를 유포한 정황이 포착됐다. 시큐아이 STIC 위협분석그룹에 따르면 해당 악성코드 첨부 피싱 메일은 친환경 기능성 화학제품을 제조하는 회사의 직원을 대상으로 발송됐으며, 리눅스 E-Mail 클라이언트를 이용해 송신자의 주소를 위조해 전송됐다.

[보안뉴스 / 9.8.] 친환경 기능성 화학제품 제조사 타깃 국세청 홈택스 사칭 악성메일 유포

▲위조된 E-mail 주소로 송신된 악성코드 첨부 피싱 메일 원본[자료=시큐아이]

해당 메일에 첨부된 파일은 이중 확장자를 가진 Portable executable 파일로, .pdf.exe라는 확장자를 가지고 있어 확장자 보기 옵션이 비활성화 되어 있는 경우 아래와 같이 PDF 확장자로 보이게 된다.

▲첨부된 악성 EXE 파일과 해당 파일에 삽입된 코드 사인 인증서[자료=시큐아이]

해당 악성코드는 Nullsoft Installer로 제작됐으며, 인스톨러를 통해 악성 DLL이 .Net framework의 코드 액세스 보안 도구를 실행해 추가적인 악성 바이너리를 인젝션한다. 인젝션 된 악성 바이너리는 구글 드라이브(Google Drive)에 업로드된 암호화 바이너리 모듈을 다운로드 받는다.

이후 다운로드 받은 바이너리를 복호화해 메모리에 적재한다. 다운로드 받은 바이너리는 NanoCore 백도어 바이너리와 플러그인 모듈, ZIP 압축 및 해제를 위한 LZMA 알고리즘의 C# 라이브러리인 LZMA# 라이브러리 등이 적재된다.

메모리에 적재된 NanoCore 백도어 라이브러리를 이용해 명령제어(C&C) 서버에 연결을 시도한다. 해당 악성 바이너리는 2개의 C&C 서버 주소를 가지고 있다. C&C 서버에 접속된 이후, 명령을 수신 받아 다음과 같은 악성행위를 수행한다.

▲특정 웹 브라우저의 인증 정보 탈취[자료=시큐아이]

▲특정 FTP 클라이언트의 인증 정보 탈취[자료=시큐아이]

▲지정 웹 서버 대상으로 Slowloris DDoS 공격 시도[자료=시큐아이]

시큐아이 STIC 위협분석그룹은 “국세청 홈택스 등의 중앙기관 중 특히 세금 납부, 조회에 관련된 기관으로부터 수신한 메일일지라도, 첨부된 파일이 옳바른 확장자를 가지고 있는지 확인해야 한다”고 당부했다. 이어 “악성코드로 인한 피해를 막기 위해서는 기관명으로 온 메일이더라도 메일 수신자 및 첨부파일을 한번 더 확인하는 등 적절한 보안 절차를 거쳐야 한다”고 조언했다.
[김경애 기자(boan3@boannews.com)]