네커스가 배포하는 것과 동일한 플로드앰미 RAT (FlawedAmmyy RAT)을 드랍시키는 스팸 캠페인 발견

게시일: 2018-08-16 l 작성자: Trend Micro

트렌드마이크로는 Necurs (네커스) 모듈에서 사용하는 것과 동일한 플로드앰미 RAT (FlawedAmmyy RAT. 원격 액세스 트로이 목마)을 드랍하여 은행 및 POS 사용자 관련 도메인 내에 최종 페이로드를 봇에 설치하는 신종 스팸 캠페인을 탐지하였습니다. 또한 스팸 캠페인은 Microsoft Windows 세팅 패널의 XML 포맷 쇼트컷인 SettingContent-ms를 악용하는 것으로 밝혀졌습니다. 악성 SettingContent-ms 파일은 위에 언급된 RAT을 드랍하는 PDF 문서에 삽입되어 발견되었습니다.






그림 1. 7월 12일 과 13일 사이의 스팸 메일의 양

7월 12일과 13일에 발송된 스팸 메일을 조사하고 분석한 결과, 해당 메일을 수신한 계정의 50% 이상이 말레이시아, 인도네시아, 케냐, 루마니아, 폴란드, 오스트리아와 같은 국가의 은행에 속해있었습니다.

감염 체인


그림 2. 스팸 캠페인의 감염 체인

스팸 메일은 제목에 주로 “invoice”, “important announcement”, “copy”, “Scanned image”, “Security bulletin”, “whats this” 등과 같은 표현을 사용하였습니다. 스팸 메일에 첨부된 PDF에는 ProofPoint가 보고한 것과 유사한 자바스크립트 코드 및 “downl.SettingContent-ms” 파일이 포함되어 있습니다. 사용자가 PDF 파일을 열면 자바스크립트가 SettingContent-ms 파일을 오픈합니다.

“downl.SettingContent-ms”가 오픈되고나면, Windows는 태그 안에 있는 PowerShell 명령을 실행하게되고, 해당 명령은 파일을 실행하기 전에 hxxp://169[.]239[.]129[.]117/cal 에서 플로드앰미 RAT (FlawedAmmyy RAT)을 다운로드합니다. 해당 플로드앰미 RAT (FlawedAmmyy RAT) 변종은 네커스 모듈에 의해 은행 및 POS 사용자 관련 도메인 내에 설치된 봇에 있는것과 동일합니다.


그림 3. 자바스크립트 코드 및 SettingContent-ms가 있는 PDF 파일이 유첨된 스팸 메일 샘플


그림 4. PDF가 열리면 자동으로 오픈되는 내장된 자바스크립트 코드


그림 5. 자바스크립트 코드가 오픈하는 내장된 “downl.SettingContent-ms” 파일


그림 6. “downl.SettingContent-ms” 파일을 여는데 사용되는 자바스크립트 코드


그림 7. PDF 파일을 오픈한 후 자바스크립트 코드가 열리는 “downl.SettingContent-ms” 파일


그림 8. 플로드앰미 RAT (FlawedAmmyy RAT)을 다운로드 하기위한
PowerShell 명령을 포함하는 “downl.SettingContent-ms” 파일의 내용

플로드앰미 RAT (FlawedAmmyy RAT) – 스팸 캠페인과 네커스의 연결점

최근들어 네커스는 특정한 특징을 지닌 봇에 관심을 보이고 있습니다. 지난 7월 12일, 네커스는 플로드앰미 RAT (FlawedAmmyy RAT)의 다운로더인 모듈을 봇으로 보냈습니다. 모듈은 도메인 이름에 bank, banc, aloha, aldelo, position 등의 키워드 중 하나가 포함되어 있는지 확인합니다 (그림 10 참조). Aloha는 레스토랑 POS 시스템이며, Aldelo는 iPad POS 시스템입니다. Position은 ATM, POS에서 전자상거래 및 모바일에 이르기까지 모든 채널에서 결제 또는 거래를 확보하기 위한 솔루션입니다. 따라서 봇의 사용자 도메인이 네커스의 기준과 일치하는 경우 hxxp://169[.]129[.]117[.]117/Yjdfel765H에서 다운로드하여 실행합니다.


그림 9. cmd 명령 echo %%USERDOMAIN%%을 통해 봇의 사용자 도메인을 얻은 모듈


그림 10. 사용자 도메인에 강조 표시된 키워드가 있는지 확인하는 모듈

트렌드마이크로 솔루션

Trend Micro Smart Protection Suite와 같은 엔드포인트 솔루션은 네커스 같은 스팸 등의 위협으로부터 기업을 보호합니다. 트렌드마이크로의 엔드포인트 솔루션은 악성 파일 및 스팸 메시지를 탐지하고 관련 악성 URL을 모두 차단함으로써 사용자 및 기업을 위협으로부터 보호합니다. Trend Micro Deep Discovery™은 악성 첨부파일 및 URL을 탐지하여 기업을 보호할 수 있는 이메일 검사 레이어를 제공합니다.

Trend Micro™ Hosted Email Security는 스팸, 멀웨어, 스피어 피싱, 랜섬웨어 및 지능형 타깃 공격이 네트워크에 도달하기 전에 이를 지속적으로 업데이트하는 보호기능을 제공하는 no-maintenance 클라우드 솔루션입니다. Microsoft Exchange, Microsoft Office 365, Google Apps, 기타 호스팅 및 온프레미스 이메일 솔루션을 보호합니다.

하이파이 머신러닝과 다른 탐지 기술 및 글로벌 위협 인텔리전스를 혼합한 XGen™ 엔드포인트 보안으로 더 강력해진 Trend Micro™ OfficeScan™은 지능형 멀웨어 공격에 맞서 포괄적인 보안을 제공합니다.

Indicators of compromise (IoCs)

IoC IoC Type Description
5181ede149a8cd560e9e0958be51ec069b486c87
14efc02509ab12eee08183a8
SHA256 Necurs module that checks if the bot is potentially bank- or POS-related
576a373ccb9b62c3c934abfe1573a87759a2bfe26
6477155e0e59f336cc28ab4
SHA256 PDF used in the spamming campaign on July 12 and 13
42ded82ef563db3b35aa797b7befd1a19ec92595
2f78f076db809aa8558b2e57
SHA256 FlawedAmmyy RAT dropped by the Necurs module and the spam campaign on July 12
185[.]99[.]132[.]119:443 IP + Port C&C of the FlawedAmmyy RAT
hxxp://169[.]239[.]129[.]117/Yjdfel765Hs URL URL used to download the FlawedAmmyy RAT in the Necurs module
hxxp://169[.]239[.]129[.]117/cal URL URL used to download the FlawedAmmyy RAT in the SettingContent-ms file embedded in the PDF

 

[원문: Spam Campaign Abusing SettingContent-ms Found Dropping Same FlawedAmmyy RAT Distributed by Necurs]