㈜소프트이천

국세청 사칭해 유포 중인 악성 LNK 파일 주의!

보안 이슈 2023-09-19

안랩이 국세청을 사칭한 악성 LNK 파일이 국내에 유포되고 있는 정황을 확인했다. LNK 파일을 악용하는 방식은 과거부터 꾸준히 사용돼 왔으며, 최근에는 국내 사용자를 노린 사례가 다수 확인되고 있다. 이번에 확인된 악성 LNK 파일은 어떤 방식으로 유포되는지 자세히 알아보자.

 

​해당 악성 LNK 파일은 이메일에 첨부된 URL을 통해 유포되는 것으로 추정되며, 자사 인프라를 통해 확인된 URL은 아래와 같다.

Ÿ 다운로드 URL

hxxps://file.gdrive001[.]com/read/?cu=jaebonghouse&so=종합소득세%20신고관련%20해명자료%20제출%20안내.zip​

이 URL을 실행하면 ‘종합소득세 신고관련 해명자료 제출 안내.zip’라는 이름의 압축 파일이 다운로드된다. 분석 당시에는 다운로드된 압축 파일에 악성 LNK 파일과 정상 한글 문서 2건이 존재했다. 하지만 현재 해당 압축 파일에서는 정상 한글 문서 3건만 확인된다. 이 점으로 미루어 보아, 공격자는 단시간 동안 악성 파일을 유포해 분석 및 추적을 어렵게 한 것으로 보인다.

[그림 1] 악성 LNK 파일을 포함하는 압축 파일

​압축 파일 내 ‘국세청 종합소득세 해명자료 제출 안내.lnk’라는 이름의 악성 파일은 약 300MB 크기의 더미 데이터가 붙어있는 형태로, 악성 파워셸(PowerShell) 명령어를 포함한다.

[그림 2] LNK 파일 내부의 파워셸 명령어

파워셸 명령어는 LNK 파일 내부에 존재하는 정상 한글 문서를 ‘국세청 종합소득세 해명자료 제출 안내.hwp’ 파일로 생성한 후 실행한다. 생성된 정상 한글 문서는 [그림 3]과 같이 국세청을 사칭한 세금 관련 안내문으로 위장했다. 따라서 사용자는 악성 LNK 파일을 실행한 후 정상 한글 문서가 실행된 것으로 착각할 수 있다.

[그림 3] 정상 한글 문서​

 

이후 LNK 파일 내부의 압축 파일을 ‘%Public%\02641.zip’ 경로에 생성한다. 그런 다음, 생성된 압축 파일의 압축을 해제하고 ‘start.vbs' 파일을 실행한다. 여기서 LNK 파일과 압축 파일은 삭제된다. 압축을 해제한 후에는 [그림 4]의 파일들이 생성되며, 각 파일의 기능은 [표 1] 과 같다.

[그림 4] 압축 해제 후 생성되는 파일​

 

 

[표 1] 스크립트 기능​

 

해당 스크립트에 의해 수행되는 최종 악성 행위는 사용자 정보 탈취 및 추가 악성 파일 다운로드이다. 공격자가 탈취하는 사용자 정보는 아래와 같으며, 해당 정보는 ‘hxxp://filehost001.com/upload.php’로 전송된다.

 

[그림 5] 사용자 정보 탈취

 

다운로드되는 추가 파일은 총 2개로, ZIP 파일과 CAB 파일이다. ZIP 파일은 unzip.exe 를 통해 압축을 해제하는데, 이를 위해서는 패스워드(a) 가 필요하다. 이후 생성된 파일을 rundll32.exe 를 통해 로드한다.

 

Ÿ 다운로드 URL

hxxps://file.gdrive001[.]com/read/get.php?cu=ln3&so=xu6502

 

[그림 6] ZIP 파일 다운로드

 

CAB 파일은 expand 명령어로 압축을 해제하며, 이후 생성되는 temprun.bat 파일을 실행한다.

 

Ÿ 다운로드 URL

hxxp://filehost001[.]com/list.php?f=%COMPUTERNAME%.txt

 


[그림 7] CAB 파일 다운로드

 

현재 2개 URL 모두 접속이 불가해 추가 다운로드되는 파일은 확인하지 못했다. 자사 인프라를 통해 확인된 최종 실행 악성코드는 Qasar RAT, Amadey 가 확인되며, 공격자가 업로드하는 파일에 따라 다양한 악성 파일이 다운로드될 수 있다.

 

앞서 소개한 국세청을 사칭한 LNK 외에도 아래와 같이 다양한 주제를 활용해 악성 LNK를 유포하고 있어 주의가 필요하다.

 

Ÿ 유포 파일명

230827- 협의회 참여단체 현황.xlsx.lnk

202308 통일부조직개편 설명자료.pdf.lnk

2023-2-주차등록신청서-학생용.hwp.lnk

수강신청정정원.hwp.lnk

securityMail.html.lnk

 

이처럼 최근 악성 LNK 파일의 유포가 급증하면서 다운로드되는 파일에 따라 추가 피해가 발생할 수 있다. 사용자는 메일의 발신자를 신중하게 확인해야 하며, 출처가 불분명한 파일의 경우 열람을 자제해야 한다. 또한, PC를 주기적으로 점검하고 보안 제품을 항상 최신 버전으로 업데이트해야 한다.

 

 

출처 : AhnLab

관련 글

취약한 MS-SQL 서버에 설치되는 악성코드 주의!

취약한 MS-SQL 서버에 설치되는 악성코드 주의!

최신 사이버 위협과 알아두면 좋은 보안 용어

최신 사이버 위협과 알아두면 좋은 보안 용어

리눅스 시스템 공격에 사용되는 Pupy RAT 분석

리눅스 시스템 공격에 사용되는 Pupy RAT 분석

Notepad++ 공식 패키지 파일로 위장한 악성코드 주의

Notepad++ 공식 패키지 파일로 위장한 악성코드 주의

Redis 서버를 통해 설치되는 메타스플로잇 미터프리터

Redis 서버를 통해 설치되는 메타스플로잇 미터프리터

유튜브 계정 통해 유포 중인 인포스틸러 악성코드 주의

유튜브 계정 통해 유포 중인 인포스틸러 악성코드 주의

구글 광고 추적 기능 통해 유포 중인 악성코드 주의

구글 광고 추적 기능 통해 유포 중인 악성코드 주의

공공기관 설치 파일로 위장한 악성코드 주의

공공기관 설치 파일로 위장한 악성코드 주의

복호화 키를 포함한 CryptoWire 랜섬웨어

복호화 키를 포함한 CryptoWire 랜섬웨어

국내 자산 솔루션 통해 유포 중인 악성코드 주의!

국내 자산 솔루션 통해 유포 중인 악성코드 주의!

더 보기
소프트웨어 구입 / 컨설팅 문의
소프트웨어견적 요청
솔루션제안 요청
기술 지원상담 요청
카카오톡문의
㈜소프트이천 서울특별시 송파구 송파대로 167 테라타워 A동 1201-1203호 TEL : 02-553-2331 Copyright SOFT2000 All Rights Reserved.
02-553-2331
견적 요청
카카오톡 문의