국세청 세무조사 사칭 피싱 메일을 통해 유포 중인 백도어 악성코드
국세청 세무조사 사칭 피싱 메일을 통해 유포 중인 백도어 악성코드
최근 국세청 세무조사를 사칭한 피싱 메일을 통해 악성코드가 유포 중인 것으로 확인되었습니다. 공격자는 피싱 메일 내 악성 링크를 통해 국세청 세무조사 통지 화면으로 위장한 피싱 사이트
blog.alyac.co.kr
- 개요
- 최근 기업 담당자 대상으로 국세청 세무조사 통지를 사칭한 피싱 메일이 유포됨
- 메일 내 링크 클릭 시 피싱 사이트로 연결되며 세무조사 안내 문구와 함께 '조사 명단 다운로드' 버튼 노출해 클릭 유도
- 버튼 클릭 시 '기업 조사 명단.zip' 파일이 다운로드 되며 압축 파일 내에는 3개 파일 존재
- 기업 조사 명단.exe: 정상 서명된 Intel 그래픽 유틸리티(vulkaninfo.exe) 파일
- vulkan-1.dll: 정상 실행 파일이 실행될 때 자동으로 로드되는 악성 DLL 파일
- vulkan-1.bin: 암호화된 쉘코드, 백도어 페이로드, C2 설정 정보가 담긴 데이터 파일
- 공격 흐름
- DLL 사이드로딩
- 사용자가 '기업 조사 명단.exe' 파일 실행 시 DLL 사이드로딩 기법 통해 동일 경로에 위치한 vulkan-1.dll 파일이 로드되어 실행됨
- DLL 사이드로딩이란 Windows의 DLL 검색 순서를 악용하는 공격 기법으로 프로그램 실행시 필요한 DLL을 찾기 위해 여러 경로를 검색하는데, 정상 프로그램과 동일한 경로내 악성 DLL 파일을 위치시켜 악성 DLL 파일이 먼저 로드되도록 조작하는 방식
- vulkan-1.bin 파일 내부 페이로드 복호화
- 실행된 DLL 파일은 동일 경로의 vulkan-1.bin 파일에서 데이터를 읽어온 후, RC4를 변형한 알고리즘(Modified RC4)을 사용해 쉘코드와 백도어 페이로드를 복호화
- 백도어 실행 및 지속성 등록
- 복호화된 쉘코드가 메모리에서 직접 백도어(RAT)를 실행하며, 실행된 백도어는 프로그램 파일 경로에 구성 파일들을 복사하고 Microsoft Compatibility system이라는 이름으로 서비스 등록
- 이후 시스템 재부팅 시에도 444.exe 파일이 자동 실행되어 악성 DLL을 다시 로드하게 함
- vulkan-1.bin파일 내부 C2 설정값은 install.cfg 파일로도 저장되어 이후 실행 시 재로드 되게 함
- DLL 사이드로딩
- 최종 페이로드(Backdoor) 주요 기능
- 프로세스 인젝션
- 권한 상승 및 토큰 탈취
- C2 통신
- 파일 시스템 조작 및 정보 수집
- RPC를 통한 내부망 횡적 이동
- 안티 디버깅 및 안티 분석
- 공격 특징
- 사회공학적 공격: '세무조사'라는 심리적 압박 소재로 사용자의 실행을 유도
- 정상 소프트웨어 악용: 정상 파일을 악용해 보안 솔루션의 탐지를 우회
- 위장을 통한 지속성 유지: 정상 시스템 구성요소로 위장하고 C2주소 원격 업데이트 구조를 통해 특정 IP 차단에도 유연하게 대응 가능
- 지속적/다국가 대상 공격: 최초 공격은 작년 12월 중순부터 시작되어 현재까지 지속되고 있으며, 다수의 국가를 겨냥한 지속적인 캠페인으로 판단됨
'swuforce 심화팀 > 기술스터디' 카테고리의 다른 글
| [Ahnlab] 미토스(Mythos)란 무엇인가: AI 공격의 본질과 기업 보안 대응 전략 (0) | 2026.05.02 |
|---|---|
| [Ahnlab] 개발 도구가 공격 도구로, MSBuild 악용 사례 분석 (0) | 2026.04.28 |
| [Ahnlab] 카카오톡 설치하려다 감염? 검색 노린 악성코드 주의 (0) | 2026.03.23 |
| [ESTSECURITY] 영상 픽셀 속 악성코드, '픽셀코드(PixelCode)' 공격기법 (0) | 2026.02.10 |
| [genians] 포세이돈 작전: 구글 광고 리다이렉션 메커니즘을 악용한 스피어 피싱 공격 (0) | 2026.01.27 |