<분석 개요>

최근 국내기업을 타깃으로 악성 스크립트를 첨부하는 악성메일이 발견되어 사용자들의 주의가 요구된다.

첨부된 악성 스크립트는 레몬덕(LemonDuck) 봇넷으로 실행 시 수 차례 PowerShell Script로 된 페이로드를 실행하여 최종적으로 사용자PC에 코인마이너를 심는다. 레몬덕 봇넷은 코드 내부에 'Lemon-Duck'이라는 변수명을 가지며, 파이썬으로 제작된 실행파일을 통해 내부 네트워크로 코인마이너를 전파하는 특징을 가진다. 이 외에도 여러 악성 모듈을 다운로드하며, 리눅스 운영체제에도 코인마이너를 전파한다.

[악성코드 동작 방식]

※ 자세한 내용은 첨부된 PDF 파일을 확인해 주세요.(위 "다운로드" 버튼 클릭)