송금 확인서 한 장에서 시작된 정보 탈취, 예방법은?
최근 송금 확인서로 위장한 피싱 메일을 통해 원격제어 악성코드인 Remcos RAT이 유포된 사례가 확인됐다. 공격자는 국내 특정 기업의 직원을 사칭하고, 결제 관련 내용을 담은 엑셀 파일(XLS)을 첨부해 수신자의 실행을 유도했다. 문서를 열면 정상적인 송금 확인서가 나타나지만, 백그라운드에서는 취약점 악용과 추가 악성코드 다운로드가 연이어 진행된다. 송금 확인서를 가장한 피싱 메일의 공격 과정과 피해를 예방하기 위한 대응 방법을 살펴보자.

송금 확인서로 위장한 악성 엑셀 파일
사용자가 첨부된 XLS 파일을 내려받아 실행하면, [그림 2]와 같이 정상적인 송금 확인서 내용이 표시된다. 그러나 이는 사용자의 의심을 줄이기 위한 미끼 문서(Decoy)로, OLE 객체를 악용한 CVE-2017-0199 취약점을 포함한다. 해당 취약점은 Microsoft Office의 OLE2Link 기능을 악용한 원격 코드 실행(RCE) 취약점으로, 사용자가 문서를 열면 외부 URL에 자동으로 접근해 HTA 등 추가 악성 파일을 다운로드하고 실행할 수 있다.

[그림 1] 피싱 이메일 본문
HTA 다운로드 C2
- hxxp://144.172.104[.]196/35/smallbackpackcomingfromthebestplaces.hta

[그림 2] 미끼 내용으로 위장한 악성 xls 파일

[그림 3] CVE-2017-0199 취약점
PowerShell을 통한 추가 악성코드 실행
외부 서버에서 내려받은 악성 HTA 파일은 C2 서버로부터 다운로드돼 실행되면, WMI의 Win32_Process.Create() 메서드를 이용해 난독화된 PowerShell 스크립트를 백그라운드에서 실행한다.

[그림 4] 악성 HTA 스크립트 중 일부
실행된 PowerShell 스크립트는 또 다른 C2 서버에 접속해 스테가노그래피가 적용된 PNG 파일을 다운로드한다. 스테가노그래피는 이미지와 같은 정상적인 파일 내부에 데이터나 악성코드를 숨기는 기법이다.
공격자는 PNG 파일 내부에서 ‘IN-‘과 ‘-inl’ 문자열을 마커로 사용해 Base64로 인코딩된 .NET 로더 유형의 악성코드를 추출한다. 이후 추출한 데이터를 복호화해 메모리상에서 로드하고 실행한다.
스태가노그래피 PNG 다운로드 C2
- hxxps://blue-paper-f69f[.]acrypters.workers.dev/FTM0-40PO-AO28-G98E/img_qiql6d.png
실행된 .NET 로더는 최종 악성코드인 Remcos RAT를 다운로드할 C2 서버 주소를 인자 값으로 전달받아 동작한다.
Remcos RAT 다운로드 C2
- hxxp://144.172.104[.]196/vzt/vzt_175159.cat

[그림 5] 악성 PowerShell 스크립트

[그림 6] 스테가노그래피가 적용된 PNG 내부 Base64

[그림 7] 스테가노그래피가 적용된 PNG
공격 과정을 정리하면 다음과 같다.
- 국내 특정 기업 직원을 사칭한 피싱 메일 수신
- 송금 확인서로 위장한 악성 XLS 파일 실행
- CVE-2017-0199 취약점을 이용해 악성 HTA 파일 다운로드
- HTA 파일이 WMI를 통해 난독화된 PowerShell 스크립트 실행
- PowerShell이 스테가노그래피가 적용된 PNG 파일 다운로드
- PNG 내부에서 Base64로 인코딩된 .NET 로더 추출
- .NET 로더를 메모리상에서 실행
- 최종적으로 Remcos RAT 다운로드 및 실행
키로깅과 화면 캡처를 수행하는 Remcos RAT
최종적으로 실행되는 Remcos RAT는 감염된 시스템에서 공격자의 원격 명령을 수신하고 실행하는 원격제어 악성코드다. 키로깅, 화면 캡처, 파일 조작 등 다양한 기능을 이용해 감염 시스템과 사용자의 정보를 수집한다. 공격자는 이를 통해 사용자가 입력한 정보나 화면에 표시된 내용, 시스템 내부 파일 등에 접근할 수 있다.
수집된 정보와 원격 명령 실행 결과는 C2 서버와의 통신을 통해 외부로 전송된다.
Remcos RAT C2
- guhudeolokghguhumandeylikebroemdfhhfhsjj.duckdns[.]org:4087

[그림 8] 최종 실행되는 Remcos RAT
송금 확인서 메일 수신 시 대응 방법
- 발신자 이메일 주소 확인
메일에 표시된 발신자 이름만 믿어서는 안 된다. 발신자의 전체 이메일 주소를 확인하고, 해당 기업이나 기관이 실제 사용하는 공식 도메인인지 살펴봐야 한다.
공격자는 국내 기업의 직원이나 거래처를 사칭할 수 있으므로, 평소 주고받던 메일과 주소가 다른 경우 첨부파일을 실행하지 않는 것이 안전하다. - 하이퍼링크와 첨부파일 확인
메일 본문에 첨부된 이미지나 링크 클릭을 유도한다면 클릭하기 전에 실제 연결되는 URL을 먼저 확인해야 한다. 의심스러운 URL은 보통 공식 페이지가 아닌 다른 경로를 거친 뒤 정상 페이지로 리다이렉트될 수 있으므로 이동 과정과 실제 연결 주소를 주의 깊게 살펴봐야 한다.
첨부파일이 포함된 경우는 ‘.exe’, ‘.vbs', ’.js’ 등 의심스러운 확장자인지도 확인해야 한다. 다만 이번 사례처럼 XLS 형식의 정상적인 업무 문서로 보이는 파일에도 취약점이 포함될 수 있으므로 익숙한 문서 확장자라는 이유만으로 안전하다고 판단해서는 안 된다. - 민감 정보 입력 전 공식 주소 확인
메일이나 연결된 페이지에서 로그인 계정 정보와 같은 민감한 데이터를 요구한다면 정보를 입력하기 전에 해당 페이지가 공식 URL인지 확인해야 한다.
주소가 공식 페이지와 다르거나 의심스러운 문자열이 포함돼 있다면 정보를 입력하지 않아야 한다. HTTPS 적용 여부와 브라우저 주소창의 자물쇠 아이콘도 함께 확인해야 하며, 의심스러운 페이지에는 계정이나 개인정보를 절대 입력하지 않는 것이 안전하다.
업무상 자주 사용하는 송금 확인서나 결제 문서는 사용자의 경계심을 낮추는 피싱 소재로 악용될 수 있다. 특히 문서를 열었을 때 정상적인 내용이 표시되더라도 내부 취약점을 통해 추가 악성코드가 실행될 가능성이 있다.
예상하지 못한 송금 확인서나 결제 관련 메일을 받았다면 발신자에게 별도의 연락 수단으로 진위를 확인하고, 출처가 불분명한 첨부파일은 실행하지 않아야 한다.
공유 등급: TLP:GREEN
본 콘텐츠는 AhnLab TIP에 게시된 위협 정보를 바탕으로, 독자가 쉽게 이해할 수 있도록 주요 내용을 요약·재구성한 자료입니다. 위협 관련 상세 정보는 AhnLab TIP에서 확인할 수 있습니다.
- AhnLab콘텐츠마케팅팀
