지란지교시큐리티

발신자 : info@knipl.com
메일 제목 : RE: [메일수신자]
발신 IP :  148.251.6.144(독일 IP) IP는 지속적으로 변경 됨

 - 메일 본문의 주요 내용은 첨부된 파일을 확인 요청을 통해 메일 수신자가 본문내 존재하는 URL을 클릭하도록 유도
 - 링크를 클릭할 경우 악성 매크로가 삽입된 doc 파일을 다운로드 받으며, 파일을 실행할 경우 Office 업그레이드를 위해 매크로 허용을 요청
 - 수신자가 매크로를 허용할 경우 난독화되어 있는 악성 매크로가 동작되며, PowerShell를 활용하여 추가 악성코드 유포지로부터 추가 동작을 위한 PE 파일을 다운로드 수행
 - 다운로드가 완료된 이후 PowerShell을 활용해 악성 PE 파일을 실행합니다. 해당 PE 파일이 실행되면, 디버깅을 여부를 확인하며, 디버깅 되어 있지 않을 경우 악성행위를 수행
 - 악성행위는 감염 PC에 정보를 수집하여 외부로 유출을 시도하며, 악성코드의 지속성을 위해 레지스트리를 수정


[참고사항]
 - 비슷한 유형의 메일이 수신된 경우, 해당 메일은 삭제하는 것을 권장
 - 사내 보안팀이나 보안담당자가 있는 경우 악성메일이 수신되었음을 신고
 - "악성코드 분석리포트"에 다운로드 경로 및 파일에 대한 상세 실행 과정이 포함되어 있음