이메일 하이재킹을 통해 Qakbot 악성코드 국내 유포 중 - ASEC BLOG 관련 IOC 13개 발견
AhnLab Security Emergency response Center(ASEC)는 Qakbot 악성코드가 이메일을 통해 유포되는 정황을 확인하였다. 이메일은 기존 메일 수신/참조를 활용해 정상 메일 형태를 띄고 있는데, 첨부파일을 열람하도록 유도한다. 열람 시 Microsoft Azure 로고가 나타나고, Open 버튼의 클릭을 유도하는 메세지가 존재한다. ZIP파일 다운로드 후 압축해제를 통해 WSF 파일을 확인해 보면 악성 URL로 연결되는 스크립트 코드가 확인되며, 실행 시 암호화된 데이터 커맨드를 파워쉘 프로세스를 통해 실행하게 된다.
ASEC에서는 이메일을 통해 유포되는 Qakbot 악성코드를 발견하였다. 이메일 내용과 첨부파일을 통해 Microsoft Azure 로고와 함께 Open 버튼의 클릭을 유도하고, ZIP파일 다운로드 후 WSF 파일로 스크립트 코드를 실행하는 것을 확인할 수 있다.
Ahnlab
Qakbot malware is being distributed in Korea through email hijacking - ASEC BLOG
ASEC에서는 이메일을 통해 Qakbot 악성코드가 유포되고 있는 것을 확인하였다. 수신/참조인 메일주소를 활용한 메일이 유포되었고, 실행하면 Microsoft Azure 로고와 함께 Open 버튼 클릭을 유도하는 메세지가 있었다. Open 버튼 클릭 시 악성 URL로 연결되며, TMP 경로에 undersluice.Calctuffs 파일로 다운로드되는 WSF 파일이 난독화되어 있었고, 실행 시 파워쉘 프로세스로 Qakbot 바이너리가 실행된다는 것을 확인할 수 있었다.
ASEC은 이메일을 통해 Qakbot 악성코드가 유포되고 있는 것을 확인하였다. 이메일에 첨부된 PDF 파일명은 랜덤문자의 형태를 띄고 있고, 실행 시 Microsoft Azure 로고 메세지가 표시되었으며, Open 버튼 클릭 시 압축파일이 다운로드 되는 것을 확인할 수 있었으며, 압축을 해제하면 WSF 파일 내의 난독화된 스크립트가 실행되며, 파워쉘 프로세스로 Qakbot 바이너리가 실행된다는 것을 확인하였다.
https://asec.ahnlab.com/ko/51109/