TA505 조직, 회계법인 송장으로 위장한 betman 토토 이메일 유포 증가

2019년 10월 22일 오전, 국내 betman 토토에 특정 회계법인을 위장한 악성 메일이 유포되어 betman 토토 사용자 여러분들의 주의가 필요합니다.

이번 공격 역시 최근 공격을 재개한 betman 토토 조직의 소행으로 추정되고 있습니다.

해당 betman 토토메일에는 첨부파일 대신 드롭박스 링크가 포함되어 있습니다.

[그림 1] 드롭박스 링크가 포함된 betman 토토 메일

사용자가 해당 드롭박스 링크를 클릭한다면, betman 토토 매크로가 포함된 .xls 파일이 내려받아지며 엑셀 파일에서 매크로를 실행할 경우, 아래의 경로에 DLL 파일을 드롭 및 로드하는 기능이 수행됩니다.

[그림 2] 매크로에서 ‘libDxdiag1.dll’ 로드 코드

로드된 ‘libDxdiag1.dll’은 ‘https://windows-service-en[.]com/f2121’에 연결하여 감염 PC 정보 전송 및 다운로더 기능을 수행합니다.

정보 전송 목록에는 컴퓨터 이름, 사용자 이름, 운영체제 정보, 현재 실행 중인 프로세스 이름이 포함됩니다.

[그림 3] 감염 PC 정보 전송 화면

분석 시점에서 공격자의 C&C 연결이 이루어지지 않았지만, 만일 C&C에서 다운로드가 이루어진다면 2차 피해가 발생할 수 있어 사용자들의 각별한 주의가 필요합니다.

[그림 4] 다운로드된 파일 드롭 및 실행 코드

현재 알약에서는 해당 betman 토토코드에 대해Trojan.Downloader.XLS.gen로 탐지중에 있습니다.