최근 공공기관을 사칭하여 악성코드를 포함한 메일을 통해 사용자 PC에 악성코드를 감염시키는 사회공학적 공격이 늘어나고 있다. 2019년 5월 30일에도 국세청으로 위장한 악성 메일이 유포되어 주의가 요구된다.

먼저 악성 메일을 열어보게 되면 아래 그림처럼 국세청에서 발신한 정상적인 이메일로 보인다. 또한 최근 보안메일로 html, htm 문서를 발송한다는 점에 착안하여 의심하지 않도록 htm 문서를 첨부한 것을 알 수 있다. 하지만 발신자의 이메일 주소와 발신된 내용의 본문을 자세히 읽어볼 경우 비 정상적인 문자열이 적혀있다는 점에서 해킹메일을 의심해 볼 수 있다.

[그림 1] 악성메일 본문

해당 htm 문서의 소스코드를 확인해 보면 엑셀 문서를 다운받는 간단한 코드만이 삽입되어 있는 것을 알 수 있다.

[그림 2]htm 파일에 작성된 html 스크립트

해당 스크립트가 실행되면 eTaxInvoice_776347534.xls 라는 파일명의 엑셀 문서가 다운로드된다. 엑셀 문서내에는 매크로를 사용하도록 유도하는 이미지 파일이 포함되어 있다.

[그림 3] eTaxInvoice_776347534.xls

실제 해당 문서파일 내의 매크로는 추가 악성코드 다운로드를 위한 URL, 악성파일을 불러오기 위한 HTTP Method(GET), Microsoft.XMLHTTP와 같은 문자열은 숨김처리된 시트나 매크로 내에 위치하지 않고, UserForm이라는 개체에 숨겨져 있어 해당 항목을 호출하는 방식으로 동작하게 된다.

[그림 4] UserForm1 개체 - TextBox1

매크로가 동작할 경우 Microsoft.XMLHTTP를 통해 GET 메소드로 악성코드를 다운받게 되며, cmd.exe를 통해 악성코드가 실행되게 된다. 실제 엑셀파일 내부의 매크로 스크립트의 내용은 다음과 같다.

[그림 5] 악성 매크로

해당 악성코드는 Ammyy RAT 악성코드로 C&C 서버에서 추가 암호화된 데이터를 읽어와 복호화하여 wsus.exe라는 파일명으로 생성하고 서비스에 등록한다.

[그림 6] Sandbox 분석결과

17:30 현재 해당 엑셀파일은 정상적으로 다운로드되지 않고있으나 동일한 유형의 공격은 지속적으로 발생하고 있어 사용자들의 주의가 필요하다.

더불어 현재 국세청에서도 다음과 같이 팝업을 통해 안내하고 있다. 해당 공격을 당하지 않기 위해 첨부파일 실행 전 본문/ 발신자를 확인하여 정상적인 발신자인지 확인하는 것이 가장 중요하다.

MSS사업본부 MIR Team