워터 마카라 스피어 피싱 메일, ‘개인 소득세’ 문서로 위장해 전송

2024-10-31 14:44
  • 카카오톡
  • 네이버 블로그
  • url
브라질 기업 대상 스피어 피싱 메일 전송된 사실 확인
트렌드마이크로, 워터 마카라 스피어 피싱 메일 분석 및 대응 방법 공개


[보안뉴스 김영명 기자] 최근 ‘개인 소득세’ 문서로 위장한 워터 마카라(Water Makara) 스피어 피싱 메일이 발견돼 사용자들의 주의가 필요하다. 공격자는 개인 소득세 통지서로 위장해 브라질 기업을 대상으로 스피어 피싱 메일을 전송했다.

이 메일에는 악성 링크 파일이 포함된 압축 파일의 다운로드를 유도하는 링크가 포함됐는데, 압축을 풀고 바로가기 파일을 실행하게 되면 mshta 실행파일을 사용해 난독화된 자바스크립트 명령을 실행하고 C2(명령제어) 서버에 연결한다.


▲Water Makara 스피어 피싱 메일 예시[자료=트렌드마이크로]

트렌드마이크로는 최근 워터 마카라 스피어 피싱 메일에 대해 분석한 결과를 발표했다. 분석한 내용을 살펴보면, 이번 스피어 피싱 메일은 크게 △스피어 피싱 메일 전송 △악성 바로가기 파일 실행 △인코딩된 JavaScript 실행 △C2 서버와 통신 등 네 단계에 걸쳐 진행된다.

먼저 ‘스피어 피싱 메일 전송’을 살펴보면 공격자는 세금 또는 규정 준수와 관련, 국가에서 발행한 공식적인 통지서로 위장해 주의가 필요하다는 내용이 포함된 메일을 전송한다. 이 메일에는 개인 소득세를 의미하는 단어인 ‘IRPF(Imposto de Renda da Pessoa Física)’가 포함된 ‘IRPF20248328025’라는 이름의 압축된 파일을 다운로드하도록 유도하는 링크가 포함됐다.

이 압축 파일에는 같은 이름의 악성 바로가기 파일 외에도 *.pdf, *.jpg, *.png, *.gif, *.mov, *.mp4 등 다양한 파일 확장자의 파일들을 포함하고 있다. 악성 링크 파일을 실행하게 되면 파일 내 인코딩된 자바스크립트를 실행하게 된다.


▲Water Makara의 공격 개요도[자료=트렌드마이크로]

인코딩된 JavaScript를 실행하기 위해 사용되는 명령어를 살펴보면, △cmd.exe(윈도의 명령줄 인터프리터) △/v:Off(지연된 환경 변수 확장을 비활성화, 명령 변수가 즉시 확인되도록 해 충돌이나 감지를 방지) △/D(자동 스크립트의 간섭 없이 특정 명령이 실행되도록 하기 위해 자동 실행 명령 중지) △/c(문자열로 지정된 명령을 수행한 후 종료해 명령이 효율적으로 실행되도록 하고 명령 프롬프트가 감지 가능성을 줄이기 위해 즉시 닫기) △mshta(HTML 파일을 통해 악성 코드 실행 시 사용) 등이 있다.

다음 단계로는 인코딩된 자바스크립트를 실행하게 된다. 인코딩된 자바스크립트 코드는 이스케이프 해제를 사용해 디코딩을 수행한다.

마지막 단계로 C2 서버와 통신이다. GetObject 함수는 자바스크립트 코드에서 변수 ‘_$_TLEN’의 배열에 있는 ‘SXSPP29’라는 메소드를 호출해 URL에서 객체를 검색하고 이를 실행한다. 이 과정에서 오류가 발생하게 되면 별다른 조치를 취하지 않고, 자바스크립트 명령이 성공적으로 실행할 때 C2 서버와 통신을 진행한다.

트렌드마이크로 분석팀은 ”이와 같은 스피어 피싱 메일에 대응하기 위해서는 신뢰할 수 없는 발신자의 첨부파일을 내려받거나 링크를 클릭할 때는 주의해야 한다“며 ”또한 단말 상에서 사용되는 안티 바이러스 프로그램을 최신버전으로 유지하고 사용되는 애플리케이션 또는 운영체제는 항상 최신 패치를 반영하는 것이 좋다“고 밝혔다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 알티솔루션

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • TVT코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 인텔리빅스

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 한결피아이에프

    • 유니뷰코리아

    • 디비시스

    • 프로브디지털

    • 스피어AX

    • 투윈스컴

    • 트루엔

    • 한국씨텍

    • 위트콘

    • 유에치디프로

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 제이슨

    • 라온시큐어

    • 시만텍

    • 유니닥스

    • 사이버아크

    • 한국IBM

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • 에이티앤넷

    • (주)일산정밀

    • 주식회사 에스카

    • 두레옵트로닉스

    • 넥스텝

    • 모스타

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 지와이네트웍스

    • 티에스아이솔루션

    • 구네보코리아주식회사

    • 동양유니텍

    • 엔에스티정보통신

    • 엔시드

    • 포커스에이치앤에스

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기