[보안뉴스 원병철 기자] 국내 기업들을 대상으로 ‘송금증’이란 제목의 악성 이메일이 대량으로 유포되고 있어 사용자들의 주의가 요구된다. 이스트시큐리티 시큐리티대응센터(ESRC)는 20일 오전부터 국내 기업들에 ‘송금증’ 내용으로 위장한 악성 이메일이 유포되고 있다면서, 피싱 메일이 회계 관련 내용인 만큼 회계 관련 업무를 보시는 분들의 각별한 주의가 필요하다고 밝혔다.
[이미지=iclickart]
특히, ESRC에서는 이번 공격은 TA505 그룹이 주도한 것으로 파악된다고 밝혔다. TA505는 러시아어를 구사하는 것으로 보이는 해킹 그룹으로 최근 국내에 엑셀파일 첨부 이메일 공격을 자주하고 있다.
▲송금증 내용을 위장한 악성 피싱 메일[자료=ESRC]
20일 발견된 악성 피싱 메일은 중소기업을 사칭하며 ‘송금증 $(랜덤숫자)’란 제목으로 유포되고 있다. 메일 내용은 간단하게 “파일 보내 드립니다”라고 적혀 있다. 이날 발견된 메일에는 XLS, DOC 등 MS Office 문서를 악용한 악성 파일이 첨부되어 있으며, ‘날짜+송금증+랜덤값’의 파일명을 가지고 있다.
▲송금증 내용을 위장한 악성 피싱 파일[자료=ESRC]
또한, 이번에 발견된 문서 파일을 열어보면 매크로 실행을 유도한다. 하지만 막상 악성 엑셀 파일을 살펴보면 그림과 같이 러시아어 리스트라는 시트명을 확인하실 수 있다. 이번에 발견된 악성 Excel 파일 및 Word 파일은 UserForm에 C2 주소가 삽입되어 있으며, 여기서 악성 매크로를 불러온다.
▲UserForm에 삽입된 C2 주소(Excel)[자료=ESRC]
이번에 발견된 악성 파일 유포지인 C&C 주소는 아래와 같다.
hxxp://179.43.147[.]77/pm1
hxxp://179.43.147[.]77/pm2
hxxp://orderlynet[.]net/r5.exe
hxxp://179.43.147[.]77/p1
hxxp://179.43.147[.]77/p2
hxxp://54.38.127.28/pm3
hxxp://54.38.127.28/pm4
최종 페이로드 경로는 아래와 같으며, RAT(Remote Admin Tool) 기능을 메인으로 하는 ‘Ammyy RAT’을 통해 사용자 PC를 조작할 수 있다.
C:\ProgramData\NuGets\wsus.exe
ESRC는 출처가 불분명한 사용자에게서 온 메일인 경우 메일에 포함된 첨부파일을 다운로드하지 말 것을 조언하면서 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 달라고 당부했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>