구매 주문서 메일로 시작된 다단계 악성코드 공격

보안 이슈 2026-03-12

기업 간 거래를 노린 피싱 공격이 점점 정교해지고 있다. 최근에는 구매 주문서 확인을 가장한 이메일을 통해 사용자가 첨부 파일을 실행하도록 유도하는 공격이 발견됐다. 해당 메일을 열어보면 정상적인 업무 메일처럼 보이지만, 실제로는 렘코스 RAT(Remcos RAT) 악성코드 감염을 유도하는 공격으로 이어진다. 공격자는 압축 파일, 난독화된 스크립트, 정상 프로세스 위장 등 여러 단계를 거쳐 시스템을 장악한다. 이런 공격에 대응하기 위해 구매 주문서를 가장한 피싱 공격의 동작 방식과 대응 방법을 미리 살펴보자.

안랩 분석팀은 구매 주문서 확인을 위장한 피싱 메일이 유포되고 있는 정황을 확인했다. 해당 이메일은 기업 간 거래에서 흔히 오가는 견적서 및 결제 확인 업무를 사칭하고 있어 사용자가 의심 없이 메일을 열어보도록 유도한다.

메일 본문에는 견적서를 수정했으니 결제 전 은행 계좌 정보를 다시 확인해 달라는 내용이 포함돼 있으며, 확인을 위해 첨부된 압축 파일을 다운로드하도록 유도한다.

[그림 1] 피싱 이메일 본문

이중 압축으로 숨겨진 악성코드
첨부된 압축 파일을 다운로드하면 내부에 또 다른 압축 파일이 포함돼 있으며, 그 안에는 JavaScript(js) 형태의 악성코드가 숨겨져 있다. 이런 이중 압축 방식은 보안 솔루션의 탐지를 우회하거나 사용자가 파일의 실제 정체를 알아채기 어렵도록 만들기 위한 공격 기법이다.

[그림 2] 이중 압축으로 숨겨진 악성코드 - 1

[그림 3] 이중 압축으로 숨겨진 악성코드 - 2

난독화된 JavaScript를 통한 추가 악성코드 다운로드
압축 파일 내부의 JavaScript 악성코드는 난독화돼 있어 코드의 실제 동작을 쉽게 파악하기 어렵다. 하지만 이를 복호화하면 공격자의 C2(Command & Control) 서버에서 파워셸 스크립트를 다운로드해 실행하는 기능을 수행하는 것을 확인할 수 있다.

• hxxp://192.109.200[.]5/webb/goodies.ps1

[그림 4] 난독화된 악성 js

[그림 5] 복호화된 악성 js

다운로드된 파워셸 스크립트 내부에는 또 다른 파워셸 스크립트가 암호화된 형태로 포함돼 있으며, 이를 RC4 알고리즘으로 복호화한 뒤 실행하는 구조를 갖는다.

[그림 6] 암호화된 또 다른 파워셸 스크립트 일부

[그림 7] 암호화된 또 다른 파워셸 실행 루틴 일부

RC4 알고리즘으로 복호화된 파워셸 스크립트는 정상 프로세스인 Aspnet_compiler.exe에 Base64로 인코딩된 악성 DLL을 인젝션해 실행한다. 이 과정에서 프로세스 할로잉(Process Hollowing) 기법이 사용되며, 정상 프로세스 내부에서 악성코드가 동작하도록 만들어 탐지를 어렵게 한다.