HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

(주의) 국세청 위장 원격 제어 악성코드 감염 주의
등록일 :
2019.05.30

□ 개요

국세청에서 보낸 전자 세금계산서로 위장한 원격 제어 악성코드가 유포되고 있어 국내 사용자들의 각별한 주의가 필요하다. 

 

□ 내용

메일 내용에는 국세청에서 발행한 전자 세금계산서로 위장하고 있으며 메일에는 'eTaxInvoice_(숫자).html' 파일이 첨부되어 있다.

[그림 1] 전자 세금계산서로 위장한 메일

 

첨부된 html 파일을 실행하면 엑셀파일을 다운로드하고 실행한다.

 

[그림 2] 엑셀파일 다운로드 

 

다운로드된 엑셀파일이 실행되면 내부에 포함된 매크로를 실행하도록 유도한다.  

 [그림 3] 다운로드한 엑셀파일 실행

 

매크로를 실행하면 공격자 서버로부터 악성코드를 다운로드 한 후 실행한다.

hxxp://172.xxx.xxx.166/m2          

C:\User\(계정명)\100.exe

 

다운로드된 100.exe 파일이 실행되면 또다른 공격자 서버로부터 악성코드를 다운로드 한 후 실행한다.

hxxp://66.xx.xx.55/02.dat

C:\ProgramData\NuGets\wsus.exe

 

다운로드된 wsus.exe 파일은 유출된 Ammyy admin 소스코드로 만들어진 원격 제어 악성코드이다. C&C 서버와 통신하며 사용자 PC를 제어할 수 있다.

C&C : 79.xxx.xxx.132

 

 

 

최근 다양한 악성 메일을 통해 악성코드 감염을 시도하고 있으므로 첨부파일이 포함된 메일의 경우 의심부터 하고 메일의 진위여부를 주의 깊게 확인해야 한다. ​

 

 

□ 바이로봇 업데이트 내역

HTML.S.Downloader
X97M.S.Downloader
Trojan.Win32.Agent
Backdoor.Win32.Agent​

 

 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top