Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보[MalSpam] Win32/Trojan.ZeusPanda (MS Word)
작성일 2018-03-08 조회 1086

 

 

 

 

 

 

 

* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.

 

 

 

유포 방식: E-Mail 내 링크

 

메일 내용

 - 제목: Invioce 서비스 서명 관련 메인

 - 내용: 링크를 통해 인보이스에 서명하십시오.

 

 

[그림] 청구서 확인으로 위장한 스팸메일

 

 

 

청구서 대한 확인 링크로 가장해 사용자에게 첨부파일 다운로드 및 실행을 유도 합니다.

 

 

 

[Link] Downloader

행위: MS Word Downloader
C2
 - 
hxxp://gamesfree247.info/1
 - hxxp://gamesfree247.info/2
 - hxxp://gamesfree247.info/3
 - hxxp://ncbc.co.za/wp-content/plugins/twg-members/1
 - hxxp://ncbc.co.za/wp-content/plugins/twg-members/2
 - hxxp://ncbc.co.za/wp-content/plugins/twg-members/3
 - hxxp://lifemotivator.tv/wp-content/plugins/contact-form-7/includes/1
 - hxxp://lifemotivator.tv/wp-content/plugins/contact-form-7/includes/2
 - hxxp://lifemotivator.tv/wp-content/plugins/contact-form-7/includes/3
 - hxxp://gigabitsoftware.com/wp-content/plugins/backupbuddy/1
 - hxxp://gigabitsoftware.com/wp-content/plugins/backupbuddy/2
 - hxxp://gigabitsoftware.com/wp-content/plugins/backupbuddy/3
 - hxxp://printforall.ro/wp-content/plugins/simple-meta-tags/1
 - hxxp://printforall.ro/wp-content/plugins/simple-meta-tags/2
 - hxxp://printforall.ro/wp-content/plugins/simple-meta-tags/3

 

 

[그림] C2 통신

 

 

 

 

링크 클릭 시 스팸메일 종류에 따라 다양한 C2에서 MS Word를 다운로드 합니다.

 

 

[doc] Malware Downloader

행위: Downloader
SHA256: 60149abf042392e352795c4bb2d731a75332e4bceb0daf83164baa0dcfa0dcd3
File Size: 259,072 bytes
C2
 - 
hxxp://babyfurniturewarehouse.com?[Random String]
 - hxxp://buildwith307.com?[Random String]
 - hxxp://carrythelamp.net?[Random String]
 - hxxp://dickswingsgrill.com?[Random String]
 - hxxp://freedomtonurse.net?[Random String]
 - hxxp://freeholdsurgical.net?[Random String]
 - hxxp://freeholdsurgical.org?[Random String]
 - hxxp://hnigrp.com?[Random String]
 - hxxp://hniltd.com?[Random String]
 - hxxp://myyobe.biz?[Random String]
 - hxxp://nightingalenurses.org?[Random String]
 - hxxp://wingsfinger.com?[Random String]
 - hxxp://wingsfingers.com?[Random String]

 

 

 

[그림] 컨텐츠 활성화 클릭 유도

 

 

 

 

늘 그래왔듯 컨텐츠 사용을 유도하며, 단순한 클릭으로 인해 발생하는 대가는 그리 단순하지 않습니다.

클릭 시 doc 내부에 있는 난독화된 Script가 실행됩니다.

 

[그림] 난독화 된 Script

 

 

 

 

[Malware] Emotet

행위: Trojan
SHA256: f6df24d8a669b5ad298a47b9cd7fb2800e46c2cac75ee519955137b7d2abdb6f
File Size: 164,352 bytes 

 

 

 

악성코드 다운로드 이후 자동 실행이 되며, 레지스트리에 자동 등록되어 주기적인 실행이 가능합니다. 

또한, 악성 C2로 내부의 정보를 전송하여 Trojan의 행위를 수행하게 됩니다.

 

 

 

 

 

 

 

[방지 방안]

1) 신뢰하지 못하는 메일의 링크는 클릭하지 않는다

2) 메일 첨부파일에 존재하는 js, zip, exe, HTA, VBS, jse, JAR 등 의심스러운 파일의 확장자는 실행하지 않는다.

3) 중요 자료는 백업을 하여 자료를 보호한다.

 

 

 

 

 

 

Source

[Title 그림] https://sensorstechforum.com/new-spam-campaign-infection-using-e-zpass-toll-bills-announced-by-ic3/

http://malware-traffic-analysis.net/2018/03/06/index.html

첨부파일 첨부파일이 없습니다.
태그 Malspam  Trojan  MS Word