지난 몇 달 동안 스피어 피싱 공격이 급증했습니다. 스피어 피싱은 해커가 신뢰할 수 있는 발신지에서 보낸 것처럼 위장하여 특정 개인에게 이메일을 보내는 피싱 사기의 한 유형입니다. 이러한 유형의 공격에서 공격자는 사회 공학적 기법과 특정 비즈니스 거래 또는 거래를 이용하여 최종 사용자가 해당 이메일이 진짜이며 알려진 사람이나 연락처에서 보낸 것으로 믿게 만듭니다. 다른 사이버 사기와 마찬가지로 이러한 이메일의 목적은 사용자 시스템에 접근하거나 기타 기밀 정보를 얻는 것입니다. 스피어 피싱 공격 사용자를 개인화하는 수준이 매우 높아서 가장 성공적인 사이버 공격 기술 중 하나로 간주되며, 이로 인해 공격의 신뢰성이 매우 높습니다.
기술적인 세부 사항:
이 감염 경로의 시작점은 XLS 파일이 첨부된 무해해 보이는 이메일입니다. 첨부 파일 이름은 정부 기관에서 제공하는 민간 작전 관련 중요 알림/업데이트처럼 보입니다. 이로 인해 피해자는 이러한 유형의 첨부 파일을 열려고 시도합니다. 수신자가 XLS 첨부 파일을 열면 사용자에게 Excel 매크로를 활성화하라는 메시지가 표시됩니다.
그림 1. XLS 파일(매크로 프롬프트 사용)
사용자가 "매크로 사용" 버튼을 클릭하면 XLS 파일이 열립니다. 추가 분석한 첨부 파일 중 하나에는 이름이 서로 다른 두 개의 사용자 양식과 매크로 소스 코드가 포함된 모듈이 포함되어 있습니다. 첫 번째 양식인 "WsHAfi Box"에는 10진수 형식의 데이터가 포함되어 있습니다.
그림 2. 매크로의 "WsHAfi Box" 형식
이 형식을 추가 분석한 결과, 아포스트로피(')를 공백으로 바꾸면 10진수 형식의 데이터가 생성된다는 것을 발견했습니다. 10진수 데이터를 ASCII 형식으로 변환하여 Zip 파일을 만들었습니다. 이 Zip 파일에는 실제 악성 코드 페이로드가 포함되어 있습니다. 다음은 원본 형식 데이터, 10진수 형식 데이터, 그리고 Zip 파일 데이터의 스크린샷입니다.
그림 3. zip 파일을 얻는 단계.
Sub userHafizaiLoadr() 함수를 사용하여 Module1에서 실행을 시작합니다. "WsHAfi Box" 사용자 폼에서 ByteArray라는 변수 하나를 생성하고 "WsHAfi Box" 사용자 폼의 데이터를 이 변수에 복사합니다. 이 변수는 "C:\Users\Documents" 폴더에 zip 파일을 생성하는 데 사용됩니다.
그림 4. userHafizaiLoadr() 함수
이 zip 파일의 내용을 추출하기 위해 Sub unHafizaizip() 함수를 사용합니다. 마지막으로, Shell 명령을 사용하여 페이로드("dtiardhues.exe")를 실행합니다.
그림 5. 미리 정의된 위치에 페이로드가 포함된 실행 파일
관찰한 바와 같이, 이 실행 파일의 내용은 Windows NT 버전마다 다릅니다(예: Windows 6.1용 7, Windows 6.2용 8, Windows 6.3용 8.1). 페이로드인 dtiardhues.exe는 원격 액세스 트로이 목마입니다. 사용자의 개입 없이 자동으로 실행되어 원격 CnC 서버에 연결됩니다. 피해자 호스트가 CnC 서버에 연결되면, 해당 서버에서 보내는 추가 명령을 기다립니다. 이 CnC 서버는 데이터 수집 및 유출 방지를 위한 다양한 명령을 지원합니다.
그림 6. CnC 서버에서 수신된 명령
처음에 이 CnC 서버는 피해자 호스트로부터 호스트 이름, 사용자 이름, OS 버전, IP, AV 소프트웨어 이름 등의 정보를 수집합니다. 또한 피해자 호스트에서 현재 실행 중인 프로세스에 대한 정보를 수집한 후, 피해자 호스트에 수집된 모든 데이터를 빼내라고 명령합니다.
우리는 다양한 피해자 호스트를 통한 CnC 서버의 통신을 분석하였고, 사용된 다음 명령과 그 기능을 식별할 수 있었습니다.
| 명령 | 설명 | 명령 | 설명 |
| 정보 | 이는 머신 정보(호스트 이름, 사용자, AV)를 전송합니다. | dirs | 시스템에 있는 드라이브 목록 보내기 |
| 클핑 | 설정 시간 | 씨스크린 | 스크린샷을 찍어서 보내다 |
| fldr | 폴더 목록 보내기 | 플레 | 디스크에서 파일을 검색합니다. |
| 필스 | 파일 크기 | 델타 | 파일 삭제 |
| 절차 | 프로세스 목록 | 런프 | 실행 파일 실행 |
| 리스트f | 파일 검색 | 파일 | 파일을 서버로 추출 |
| cnls | 취소 기능 | 엔드포 | 엔드 프로세스 |
그림 7. CNC 통신 트래픽
IOC의-
맺음말:
식별하지만 스피어 피싱 이메일 최종 사용자에게는 다소 어려울 수 있지만, 이메일 첨부 파일을 열 때는 항상 주의해야 합니다. 사용자는 이메일 첨부 파일을 열기 전에 다음 사항을 고려해야 합니다.
- 발신자의 이메일 ID를 확인하세요
- 이메일 제목이나 본문에 언급된 무료 혜택에 현혹되지 마십시오.
- 메일 본문의 어떤 링크도 클릭하지 마세요.
- Office 문서 파일을 읽기 전용 모드로 엽니다. 기본적으로 매크로를 활성화하지 마세요.
빠른 치유 시크라이트 기업 보안 솔루션은 이러한 악성 이메일 첨부 파일로부터 사용자를 보호하고 원격 명령 및 제어 서버 통신을 식별하는 데에도 도움이 될 수 있습니다. 따라서 엔드포인트 보안 솔루션을 항상 최신 상태로 유지하는 것이 중요합니다.
주제 전문가:
프라샨트 타일카르, 안잘리 라우트 | Quick Heal 보안 연구소
