브라질 기업 대상 스피어 피싱 메일 전송된 사실 확인
트렌드마이크로, 워터 마카라 스피어 피싱 메일 분석 및 대응 방법 공개
[보안뉴스 김영명 기자] 최근 ‘개인 소득세’ 문서로 위장한 워터 마카라(Water Makara) 스피어 피싱 메일이 발견돼 사용자들의 주의가 필요하다. 공격자는 개인 소득세 통지서로 위장해 브라질 기업을 대상으로 스피어 피싱 메일을 전송했다.
이 메일에는 악성 링크 파일이 포함된 압축 파일의 다운로드를 유도하는 링크가 포함됐는데, 압축을 풀고 바로가기 파일을 실행하게 되면 mshta 실행파일을 사용해 난독화된 자바스크립트 명령을 실행하고 C2(명령제어) 서버에 연결한다.
▲Water Makara 스피어 피싱 메일 예시[자료=트렌드마이크로]
트렌드마이크로는 최근 워터 마카라 스피어 피싱 메일에 대해 분석한 결과를 발표했다. 분석한 내용을 살펴보면, 이번 스피어 피싱 메일은 크게 △스피어 피싱 메일 전송 △악성 바로가기 파일 실행 △인코딩된 JavaScript 실행 △C2 서버와 통신 등 네 단계에 걸쳐 진행된다.
먼저 ‘스피어 피싱 메일 전송’을 살펴보면 공격자는 세금 또는 규정 준수와 관련, 국가에서 발행한 공식적인 통지서로 위장해 주의가 필요하다는 내용이 포함된 메일을 전송한다. 이 메일에는 개인 소득세를 의미하는 단어인 ‘IRPF(Imposto de Renda da Pessoa Física)’가 포함된 ‘IRPF20248328025’라는 이름의 압축된 파일을 다운로드하도록 유도하는 링크가 포함됐다.
이 압축 파일에는 같은 이름의 악성 바로가기 파일 외에도 *.pdf, *.jpg, *.png, *.gif, *.mov, *.mp4 등 다양한 파일 확장자의 파일들을 포함하고 있다. 악성 링크 파일을 실행하게 되면 파일 내 인코딩된 자바스크립트를 실행하게 된다.
▲Water Makara의 공격 개요도[자료=트렌드마이크로]
인코딩된 JavaScript를 실행하기 위해 사용되는 명령어를 살펴보면, △cmd.exe(윈도의 명령줄 인터프리터) △/v:Off(지연된 환경 변수 확장을 비활성화, 명령 변수가 즉시 확인되도록 해 충돌이나 감지를 방지) △/D(자동 스크립트의 간섭 없이 특정 명령이 실행되도록 하기 위해 자동 실행 명령 중지) △/c(문자열로 지정된 명령을 수행한 후 종료해 명령이 효율적으로 실행되도록 하고 명령 프롬프트가 감지 가능성을 줄이기 위해 즉시 닫기) △mshta(HTML 파일을 통해 악성 코드 실행 시 사용) 등이 있다.
다음 단계로는 인코딩된 자바스크립트를 실행하게 된다. 인코딩된 자바스크립트 코드는 이스케이프 해제를 사용해 디코딩을 수행한다.
마지막 단계로 C2 서버와 통신이다. GetObject 함수는 자바스크립트 코드에서 변수 ‘_$_TLEN’의 배열에 있는 ‘SXSPP29’라는 메소드를 호출해 URL에서 객체를 검색하고 이를 실행한다. 이 과정에서 오류가 발생하게 되면 별다른 조치를 취하지 않고, 자바스크립트 명령이 성공적으로 실행할 때 C2 서버와 통신을 진행한다.
트렌드마이크로 분석팀은 ”이와 같은 스피어 피싱 메일에 대응하기 위해서는 신뢰할 수 없는 발신자의 첨부파일을 내려받거나 링크를 클릭할 때는 주의해야 한다“며 ”또한 단말 상에서 사용되는 안티 바이러스 프로그램을 최신버전으로 유지하고 사용되는 애플리케이션 또는 운영체제는 항상 최신 패치를 반영하는 것이 좋다“고 밝혔다.
[김영명 기자(boan@boannews.com)]
트렌드마이크로, 워터 마카라 스피어 피싱 메일 분석 및 대응 방법 공개
[보안뉴스 김영명 기자] 최근 ‘개인 소득세’ 문서로 위장한 워터 마카라(Water Makara) 스피어 피싱 메일이 발견돼 사용자들의 주의가 필요하다. 공격자는 개인 소득세 통지서로 위장해 브라질 기업을 대상으로 스피어 피싱 메일을 전송했다.
이 메일에는 악성 링크 파일이 포함된 압축 파일의 다운로드를 유도하는 링크가 포함됐는데, 압축을 풀고 바로가기 파일을 실행하게 되면 mshta 실행파일을 사용해 난독화된 자바스크립트 명령을 실행하고 C2(명령제어) 서버에 연결한다.
▲Water Makara 스피어 피싱 메일 예시[자료=트렌드마이크로]
트렌드마이크로는 최근 워터 마카라 스피어 피싱 메일에 대해 분석한 결과를 발표했다. 분석한 내용을 살펴보면, 이번 스피어 피싱 메일은 크게 △스피어 피싱 메일 전송 △악성 바로가기 파일 실행 △인코딩된 JavaScript 실행 △C2 서버와 통신 등 네 단계에 걸쳐 진행된다.
먼저 ‘스피어 피싱 메일 전송’을 살펴보면 공격자는 세금 또는 규정 준수와 관련, 국가에서 발행한 공식적인 통지서로 위장해 주의가 필요하다는 내용이 포함된 메일을 전송한다. 이 메일에는 개인 소득세를 의미하는 단어인 ‘IRPF(Imposto de Renda da Pessoa Física)’가 포함된 ‘IRPF20248328025’라는 이름의 압축된 파일을 다운로드하도록 유도하는 링크가 포함됐다.
이 압축 파일에는 같은 이름의 악성 바로가기 파일 외에도 *.pdf, *.jpg, *.png, *.gif, *.mov, *.mp4 등 다양한 파일 확장자의 파일들을 포함하고 있다. 악성 링크 파일을 실행하게 되면 파일 내 인코딩된 자바스크립트를 실행하게 된다.
▲Water Makara의 공격 개요도[자료=트렌드마이크로]
인코딩된 JavaScript를 실행하기 위해 사용되는 명령어를 살펴보면, △cmd.exe(윈도의 명령줄 인터프리터) △/v:Off(지연된 환경 변수 확장을 비활성화, 명령 변수가 즉시 확인되도록 해 충돌이나 감지를 방지) △/D(자동 스크립트의 간섭 없이 특정 명령이 실행되도록 하기 위해 자동 실행 명령 중지) △/c(문자열로 지정된 명령을 수행한 후 종료해 명령이 효율적으로 실행되도록 하고 명령 프롬프트가 감지 가능성을 줄이기 위해 즉시 닫기) △mshta(HTML 파일을 통해 악성 코드 실행 시 사용) 등이 있다.
다음 단계로는 인코딩된 자바스크립트를 실행하게 된다. 인코딩된 자바스크립트 코드는 이스케이프 해제를 사용해 디코딩을 수행한다.
마지막 단계로 C2 서버와 통신이다. GetObject 함수는 자바스크립트 코드에서 변수 ‘_$_TLEN’의 배열에 있는 ‘SXSPP29’라는 메소드를 호출해 URL에서 객체를 검색하고 이를 실행한다. 이 과정에서 오류가 발생하게 되면 별다른 조치를 취하지 않고, 자바스크립트 명령이 성공적으로 실행할 때 C2 서버와 통신을 진행한다.
트렌드마이크로 분석팀은 ”이와 같은 스피어 피싱 메일에 대응하기 위해서는 신뢰할 수 없는 발신자의 첨부파일을 내려받거나 링크를 클릭할 때는 주의해야 한다“며 ”또한 단말 상에서 사용되는 안티 바이러스 프로그램을 최신버전으로 유지하고 사용되는 애플리케이션 또는 운영체제는 항상 최신 패치를 반영하는 것이 좋다“고 밝혔다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
