전체상품목록 바로가기

본문 바로가기

 
신규가입시 3,000P 지급
현재 위치
  1. 게시판
  2. 뉴스/이벤트

뉴스/이벤트

 

게시판 상세
제목 [AhnLab]견적서 요청 피싱메일로 위장한 Lokibot 악성코드
작성자 (주)소프트정보서비스 (ip:)
  • 평점 0점  
  • 작성일 2021-04-22
  • 추천 추천하기
  • 조회수 110

ASEC 분석팀은 견적서 요청 건으로 위장한 Lokibot 악성코드 유포 정황을 확인하였다. Lokibot 악성코드는 수 년 전부터 꾸준히 유포되고 있지만, ASEC 블로그를 통해 제공하는 주간 악성코드 통계를 확인해보면 지속적으로 순위권에 있는 것을 알 수 있다.

이번에 확인된 Lokibot 악성코드는 피싱메일 내 첨부파일을 통해 유포되고 있으며, CAB/LZH 를 이용한 압축파일을 이용한 점이 특징이라고 할 수 있다.

[그림1] – 피싱메일 내 첨부파일을 통해 유포되는 CAB/LZH 형태의 Lokibot 악성코드

메일 본문의 내용은 매우 간단하지만 관련 업무를 수행하고 있다면 발신인을 비롯한 회사 이름이 국내에 실제로 존재하기 때문에 의심 없이 첨부 파일을 실행해 볼 가능성이 존재한다.

[그림2] – 작업스케쥴러에 등록된 자가복제파일 실행 스케쥴

첨부파일을 내려받아 실행 시 확인되는 행위발현은 알려진 인포스틸러 유형의 악성코드와 크게 다르지 않다. 기본적으로 파일을 자가복제하여 해당 파일을 스케쥴러(schtasks.exe)에 등록하고, 웹브라우저와 FTP 계정정보 및 설정파일을 탈취하여 C2로 전송하는 전형적인 정보 탈취 행위를 보인다.

[그림3] – AhnLab 악성코드 자동분석 인프라(RAPIT) 분석결과 발췌(1)
[그림4] – AhnLab 악성코드 자동분석 인프라(RAPIT) 분석결과 발췌(2)

자사 RAPIT 시스템에서 해당 악성코드를 실행 시 위와 같이 FTP 프로그램의 설정정보와 웹브라우저의 계정정보를 탈취하려는 행위를 확인할 수 있다.

이러한 사회공학적 기법을 통해 지속적으로 악성코드가 유포되고 있으므로, 사용자들은 첨부파일이 있는 메일을 열람할 시에는 주의를 기울여야 한다. 수행하고 있는 업무와 관련된 내용이더라도 실행파일 형태의 첨부파일을 실행하는 것은 지양해야 하며, 사용하고 있는 백신은 항상 최신 버전으로 유지하고자 하는 노력이 필요하다.

V3 진단옵션에서 압축파일을 진단하도록 선택할 시, 위와 같이 CAB/LZH 형태로 압축된 악성코드도 진단이 가능하다.

본문에서 소개한 악성코드는 현재 V3에서 다음과 같이 진단하고 있다.

[파일진단]

  • Infostealer/Win.Generic.R415653
  • Malware/Win.Generic.C4415523

[관련 IoC정보]

  • C2 : hxxp://104.168.140[.]79/ghost/fre.php
  • Hash : bebf9fe03f112b3d56973f0dd4701848

출처 : 견적서 요청 피싱메일로 위장한 Lokibot 악성코드 - ASEC BLOG (ahnlab.com) 

첨부파일
비밀번호 수정 및 삭제하려면 비밀번호를 입력하세요.
댓글 수정

비밀번호 :

/ byte

비밀번호 : 확인 취소


HOME  COMPANY  BOARD  AGREEMNET  PRIVACY  GUIDE

011-17-010436

농협 / (주)소프트정보서비스

015-01-0690-148

국민 / (주)소프트정보서비스

WORLD SHIPPING

PLEASE SELECT THE DESTINATION COUNTRY AND LANGUAGE :

GO
close