2019년 6월 5일 오전 06시 24분 발송된 “계약서입니다”라는 제목의 악성메일은 계약서_74270.html 이라는 첨부파일과 함께 간단한 인사말만이 작성되어있다. 공격자의 메일주소는 “dialer@m-concept.com.ua” 로 현재까지 확인된 공격자가 사용한 메일 주소인 “jcastro@caleras.com.ar”, “junmasuda@sanwakiko.co.jp” 와 유사하게 외국의 메일주소가 확인되었다.

악성 메일에 첨부된 첨부파일을 실행시키게 되면 hxxp://www.izu[.]co.jp/~saigo/C354883.xls 에 접근하여 엑셀 파일을 다운받게 된다.

해당 엑셀파일은 사용자가 매크로를 이용하도록 유도하는 이미지 파일과 Ammyy RAT를 다운로드하는 매크로 스크립트로 구성되어 있다. 매크로가 실행될 경우  hxxp://solsin[.]top/w1 에서 악성 PE파일을 다운로드 하여 ftzp.exe라는 파일명으로 변경하여 저장하고, 명령프롬프트를 사용하여 실행시킨다.

악성 PE파일은 유효한 디지털 인증서로 서명되어 있으나, VirusTotal 조회 시 악성코드인 것을 확인할 수 있다. 악성코드가 동작할 경우 특정 IP주소(66.42.42.135, JP)에서 RAT가 동작하기 위한 추가 악성코드를 다운로드 하며 악성행위를 위해 C&C 서버에  소켓통신을 수행한다.

현재 싸이버원에서는 PROM을 통해 분석 간 확인된 악성코드 유포지 및 C&C 서버에 접근하는 행위에 대해 확인된 정보를 토대로 각각 Ammyy RAT Donwloader, Ammyy RAT, Ammyy RAT C&C로 등록하여 탐지하고 있다. 하지만 해당 케이스 이외의 변종이 유포되고있을 가능성이 높으므로 확인되지 않은 발신자로부터 수신한 첨부파일은 열람하지 않거나 관련부서에 문의하여 확인 후 열람할 수 있도록 할 것을 권고한다.

또한 스팸메일 차단 솔루션을 운영중인 경우 메일서버가 운영되는 우크라이나와 업무상 메일을 주고받는 일이 없다면 메일 서버 "vs11.ukrdomen.com", "relay.uh.com.ua"에 대해 차단을 권고한다.

[참고]

• https://servicedesk.cyberone.kr/contents/main.jsp?security=49472
• https://blog.alyac.co.kr/2341
• https://blog.alyac.co.kr/2348