[Security issues & Technology trends] 국세청을 사칭하여 전자세금계산서를 도용하고 악성코드를 유포한 정황 발견

 

 

9/12 ) 국세청을 사칭하여 전자세금계산서를 도용하고 악성코드를 유포한 정황 발견

 

 

악성코드가 첨부된 피싱 메일의 원본 [자료=시큐아이, 보안뉴스]

 

 최근 누군가가 국세청을 사칭하여 전자세금계산서를 도용하고, 악성코드를 유포한 정황이 발견되었다. 시큐아이의 위협분석그룹은 문제의 메일이 리눅스의 이메일 클라이언트를 사용하여 송신자의 주소를 위조하였고, 친환경 기능성 화학제품을 제조하는 회사의 직원들을 대상으로 발송되었음을 밝혔다. 위의 메일에 첨부된 파일은 Portable executable 파일로, 확장자로 .pdf.exe라는 확장자를 가지는데, 이로 인해 보기 옵션 설정 상태에 따라 PDF 확장자로 보일 수 있다. 파일 속 악성코드는 Nullsoft Installer로 제작되었으며, 공격 경로는 아래와 같다.

 

 

1. Installer을 통해 악성 DLL이 프레임워크의 보안 도구 실행

2. 코드 액세스 보안 도구 실행 후 추가적으로 악성 바이너리 인젝션

3. 인젝션된 악성 바이너리가 암호화 바이너리 모듈을 다운로드

4. 다운받은 바이너리 복호화 후 메모리에 적재

5. 메모리에 적재된 NanoCore 백도어 라이브러리를 이용해 명령제어(C&C) 서버에 연결

6. C&C 서버에 접속하여 명령을 수신 받아 악성행위 수행

 

 

 공격자는 아래 사진들과 같이 웹 브라우저 및 클라이언트의 인증 정보를 빼돌리거나 웹 서버를 대상으로 Slowloris DDoS 공격을 시도하는 등 다양한 악성 행위를 수행하였다. 이와 같이 악성코드로 인한 피해를 예방하는 데에 있어 시큐아이의 위협분석그룹은 중앙기관과 관련되어 수신된 메일일지라도 파일의 확장자가 올바른지에 대한 여부 확인의 중요성을 강조하였다.

 

웹 브라우저 인증 정보 탈취[자료=시큐아이,보안뉴스]

클라이언트 인증 정보 탈취[자료=시큐아이,보안뉴스]

웹 서버 대상 Slowloris DDoS 공격 시도[자료=시큐아이, 보안뉴스]

 

 

 

# 어려운 용어 정리

- DLL(Dynamic Link Library = 동적 링크 라이브러리)

: 실행 파일에서 해당 라이브러리의 기능을 사용할 때만 라이브러리 파일을 참조하여 기능을 호출하는 방식으로 쓰는 라이브러리. 한 코드를 여러 프로그램이 동시에 사용하기에 적은 리소스를 사용한다는 장점이 있다.

 

- 인젝션

: 공격자가 신뢰할 수 없는 입력을 프로그램에 주입하는 공격. HTML 스크립트 삽입, PHP 객체 삽입 공격 등 다양한 활용이 가능하다.

 

- 바이너리 파일(= 이진 파일)

: 텍스트 형식의 파일이 아닌 컴퓨터 파일로, 사람이 직접 읽을 수 없는 파일이다.

 

 

 

참고 자료 :

[보안뉴스] "친환경 기능성 화학제품 제조사 타깃 국세청 홈택스 사칭 악성메일 유포"_보안뉴스 김경애 기자_2022-09-08

https://www.boannews.com/media/view.asp?idx=109692&page=1&mkind=1&kind=1

 

[eYewated]"DLL 파일이란 무엇입니까?"_팀 피셔_2019-08

https://ko.eyewated.com/dll-%ED%8C%8C%EC%9D%BC%EC%9D%B4%EB%9E%80-%EB%AC%B4%EC%97%87%EC%9E%85%EB%8B%88%EA%B9%8C/

 

[ScienceDirect]"Injection Vulnerability"_Josh Pauli_2013

https://www.sciencedirect.com/topics/computer-science/injection-vulnerability#:~:text=Injection%20occurs%20when%20a%20hacker,still%20widespread%20and%20very%20damaging.

 

[techopedia]"Binary File"_2013-01-21

https://www.techopedia.com/definition/937/binary-file