스팸 메일과 결합된 웹 익스플로잇 툴킷 주의!

HP 사칭한 악성코드 감염 유도하는 스팸 메일 대량 유포

[보안뉴스 김태형] 이메일에 첨부되어 스팸 메일(Spam Mail)처럼 유포되는 악성코드들은 대부분이 ZIP으로 압축된 EXE 파일이 첨부되거나 EXE 또는 SCR 등의 파일 확장자를 가진 첨부 파일 형태로 유포되는 것이 일반적이다.

그러나 최근에 와서는 이메일 본문에 단축 URL(URL Shortening) 또는 하이퍼 링크를 제공하여 특정 악성코드를 유포하는 웹 사이트 또는 피싱(Phishing) 웹 사이트로 연결을 유도하는 형태들도 발견되고 있다.

안랩 시큐리티센터는 지난 5일 새벽 국내에 유명 IT 업체인 HP를 사칭하여 악성코드 감염을 유도하는 악의적인 스팸 메일들이 대량으로 유포되었다고 밝혔다.

이번에 유포된 악성코드 감염을 목적으로 하는 악의적인 스팸 메일은 다음과 같은 형태를 가지고 있다.

◇ 메일 제목 - 다음 중 하나

-Scan from a HP ScanJet #[임의의 숫자열]

-Scan from a Hewlett-Packard ScanJet #[임의의 숫자열]

-Scan from a Hewlett-Packard ScanJet [임의의 숫자열]

◇ 메일 본문

-Attached document was scanned and sent

-to you using a Hewlett-Packard HP Officejet 1178P.

Sent by: SHAVON

Images : 1

Attachment Type: .HTM [INTERNET EXPLORER]

-Hewlett-Packard Officejet Location: machine location not set

-Device: [임의의 숫자열]

◇ 첨부 파일

-HP_Doc_06.04-[임의의 숫자열].htm

안랩 시큐리티센터는 이 번에 발견된 스팸 메일은 과거의 악성코드를 유포를 목적으로 하는 다른 형태의 악의적인 스팸 메일들과는 다른 특징을 보이고 있다고 설명했다.

해당 스팸 메일은 웹을 기반으로 하여 일반 응용프로그램들의 취약점을 악용하는 웹 익스플로잇 툴킷(Web Exploit Toolkit)과 결합하여 다양한 취약점들을 동시에 악용하는 특징을 보이고 있다는 것.

이러한 웹 익스플로잇 툴킷과 결합된 스팸 메일의 전체적인 구조를 도식화하게 되면 아래 이미지와 동일하다.

첨부되어 있는 htm 파일을 실행하게 될 경우에는 웹 브라우저에서는 아래 이미지와 같이 웹 사이트 접속에 잠시 장애가 있는 것으로 위장하고 있다.

그러나 실제 해당 스크립트 파일을 편집기 등으로 확인을 하게 되면 아래 이미지와 같은 스크립트 코드가 하단에 존재하는 것을 볼 수 있다.

해당 스크립트 코드는 아래 이미지와 같이 러시아에 위치한 특정 시스템으로 연결되도록 구성되어 있으며 해당 시스템은 웹 익스플로잇 툴킷의 한 형태인 블랙홀 익스플로잇 툴킷(Blackhole Exploit Toolkit)이 설치되어 있다.

해당 시스템에서는 최초 마이크로소프트 인터넷 익스플로러(Microsoft Internet Explorer)에 존재하는 MS06-014 MDAC(Microsoft Data Access Components) 기능의 취약점으로 인한 원격 코드 실행 문제점(911562) 취약점을 악용하는 스크립트 코드를 전송하게 된다.

그 다음으로는 어도비 아크로뱃 리더(Adobe Acrobat Reader)에 존재하는 Security updates available for Adobe Reader and Acrobat CVE-2010-0188 취약점을 악용하는 PDF 파일을 전송하게 된다.

마지막으로는 자바 애플렛(Java Applet)에 존재하는 Oracle Java SE Critical Patch Update Advisory CVE-2012-0507 취약점을 악용하는 JAR 파일을 전송하게 된다.

위에서 언급한 3가지의 취약점 모두가 정상적으로 악용되지 않을 경우에는 정상 구글(Google) 메인 페이지로 연결하게 된다.

그러나 위 3가지 취약점 중 하나라도 정상적으로 악용될 경우에는 아래 이미지와 같이 동일한 시스템에 존재하는 info.exe (86,016 바이트) 파일을 다운로드하고 실행하게 된다.

해당 익스플로잇 3가지로 인해 다운로드 된 info.exe 파일이 실행되게 되면 윈도우 시스템에 존재하는 정상 explorer.exe 프로세스의 메모리 영역에 자신의 코드를 삽입하게 된다.

자신의 코드가 정상적으로 삽입되면 다음과 같은 경로에 자신의 복사본을 생성하게 된다.

C:\Documents and Settings\[사용자 계정명]\Application Data\KB01458289.exe

그리고 윈도우 시스템이 재실행이 되더라도 자동 실행 되도록 레지스트리(Registry)에 다음의 키를 생성하게 된다.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

KB01458289.exe = ""C:\Documents and Settings\[사용자 계정명]\Application Data\KB01458289.exe""

해당 악성코드는 내부에 하드코딩 되어 있는 C&C 서버와 암호화된 SSL(Secure Socket Layer) 통신을 시도하게 되나, 분석 당시에는 정상적으로 연결이 되지 않았다.

정상적으로 접속이 될 경우에는 공격자의 명령에 따라 인터넷 익스플로러와 파이어폭스(Firefox) 웹 브라우저가 접속을 시도하는 웹 사이트를 모니터링하고, 관련 정보들을 외부로 유출하게 된다.

이 번에 발견된 HP를 사칭하여 악성코드 감염을 목적으로한 악의적인 스팸 메일은 일반 응용프로그램의 취약점을 악용하는 웹 익스플로잇 툴킷과 결합된 형태이다.

이메일 수신인과 관련이 없는 의심스럽거나 수상한 스팸 메일들을 받게 되면 메일 자체를 삭제하고 첨부된 파일은 어떠한 형태라도 실행하지 않는 주의가 필요하다.

그리고 평소 자주 사용하는 응용 프로그램들은 윈도우 보안 패치와 함께 주기적으로 설치하여 이러한 일반 응용 프로그램들의 취약점을 악용하는 악성코드 감염을 주의하도록 한다.

해당 HP를 사칭한 스팸 메일을 통해 감염을 시도하는 악성코드들은 모두 V3 제품군에서 다음과 같이 진단한다.

JS/Iframe

JS/CVE-2006-0003

PDF/CVE-2010-0188

Win-Trojan/InfoStealer.86016

[김태형 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)