본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

ACMS 악성코드 분석 보고서

보안공지 2022-04-25



 

2022년 3월경부터 특정 기업을 사칭한 악성 피싱메일이 다량으로 유포중에 있으며 이 분석문서를 작성하는 현재까지도 변종들이 계속해서 발견되고 있습니다.

해당 악성코드는 주로 MS 워드 문서로 위장하고 있으며 사용자가 내용을 확인하기 위하여 "콘텐츠 사용" 을 선택하면 VBA 매크로가 실행되어 서버에서 암호화된 페이로드를 다운로드 받아서 악성코드를 실행합니다.

악성행위의 확인을 어렵게 하기 위하여 최종 페이로드는 여러 단계의 확인을 거쳐서 실행됩니다.

 

[그림] 유사 피싱 메일들

해당 악성코드는 doc의 매크로를 이용하여 악성 파일을 다운로드 한 후 시스템 정보 전송 및 명령 제어 기능과 추가 페이로드를 다운로드 합니다. 사용자의 백신 타입을 확인하여 전송하고 윈도우 빌더넘버가 7600(윈도우 7) 보다 작으면 프로그램을 종료하는 특징이 있습니다.

최근 국내에서 불특정 다수를 대상으로 다양한 파일명의 악성 파일들이 발견되고 있기때문에 사용자들의 주의가 필요합니다.

따라서 이러한 악성코드에 감염이 되지 않도록 출처가 불분명한 이메일의 링크 혹은 첨부 파일에 대해 실행을 삼가야 하며, 백신을 항상 최신 버전으로 유지할 수 있도록 해야 합니다.