국세청 세무조사 사칭 피싱 메일을 통해 유포 중인 백도어 악성코드

 

해당 게시글은 아래 글을 바탕으로 작성된 공부용 게시글임을 밝힙니다.

 

https://blog.alyac.co.kr/5741

국세청 세무조사 사칭 피싱 메일을 통해 유포 중인 백도어 악성코드

 

국세청 세무조사 통지 화면으로 위장한 피싱 사이트에 접속하게 한 뒤 해당 페이지에서 악성파일을 다운로드하도록 유도

 

 

 

유입 : 메일 속 링크 클릭 → '조사 명단 다운로드'버튼 클릭 = 악성파일 다운로드

 

악성 파일 : 버튼 클릭 시 '기업 조사 명단.zip'파일 다운로드 됨

기업 조사 명단.zip 내용물

• 기업 조사 명단.exe : 정상 서명된 Intel 그래픽 유틸리티 파일
• vulkan-1.dll : '기업 조사 명단.exe'가 실행될 때 자동으로 로드되는 악성 DLL 파일
• vulkan-1.bin : 암호화된 쉘코드, 백도어 페이로드, C2 설정 정보가 담긴 데이터 파일

 

공격 흐름

1. DLL 사이드로딩
   • 기업 조사 명단.exe파일을 실행하면 DLL 사이드로딩 기법을 통해 동일 경로에 위치한 vulkan-1.dll 파일이 로드되어 실행.
     • DLL사이드로딩 기법 : Windows의 DLL 검색 순서를 악용하는 공격 기법.
2. vulkan-1.bin 파일 내부 페이로드 복호화
   • vulkan-1.bin파일에서 데이터를 읽어온 후, RC4를 변형한 알고리즘인 Modified RC4를 사용하여 쉡코드와 백도어를 페이로드
     • RC4 알고리즘 : Rivest Cipher 4, 가변 길이 키를 사용하는 빠른 속도의 대칭형 스트림 암호 알고리즘. 그러나 생성되는 난수(키 스트림)가 완전한 무작위가 아니라는 치명적인 약점이 있어서 사용하지 않음.
     • Modified RC4 : RC4의 약점을 해결하기 위해 KSA와 PRGA 단계를 개선한 버전.
       • KSA(Key-Scheduling Algorithm) : 비밀 키를 사용하여 256바이트 상태 배열을 무작위로 섞어 초기화하는 핵심 알고리즘.
       • PRGA(Pseudo-Random Generation Algorithm) : KSA로 초기화된 배열을 기반으로 비밀 키 스트림을 생성하는 단계.
3. 백도어 실행 및 지속성 등록
   • 복호화된 쉘코드가 메모리에서 직접 백도어를 실행하며, 실행된 백도어는 C:\Program Files\Common Files\경로의 파일들을 복사하고, Microsoft Compatibility system이라는 이름으로 서비스를 등록함. (정상 서비스와 유사하게 보이도록 의도한 것으로 추정됨)

 

 

최종 페이로드 주요 기능

악성코드는 원격 제어, 권한 상승, 프로세스 인젝션 등을 수행할 수 있는 백도어로 아래와 같은 악성행위를 수행함.

• C2 통신
• 프로세스 인젝션
• 안티 디버깅 및 안티 분석

 

공격자 서버에서 다른 언어로 제작된 피싱 사이트와 피싱 메일도 확인됨.

 

 

 

공격 특징

• 사회공학적 공격 : 세무조사라는 심리적 압박 소재로 사용자의 파일 실행을 유도 및 사용자가 악성 파일 실행하도록 설계
• 정상 소프트웨어 악용 : Intel의 정상 서명된 프로그램을 통해 악성 DLL파일이 실행되는 방식
• 위장을 통한 지속성 : 이름과 저장경로를 정상 시스템의 구성요소인 척 속임.
• 지속적/다국가 대상 공격 : 공격자 서버 분석 결과, 최초 공격은 25년 12월 중순부터. 또한 다수의 국가를 겨냥함.