.gif)
출석요구서, 고소장, 비트코인 거래정보 등 사용자 불안심리를 파고든 위협 잇따라 발생
3월 말 발견된 ‘한국인터넷정보센터(KRNIC)’를 사칭한 스피어피싱 공격의 연장선
이스트시큐리티, 악성 DOC 첨부파일 실행 시 사용자 PC정보 유출 및 추가 피해 가능성 존재
[보안뉴스 원병철 기자] 최근 코로나19 방역 수칙 위반 경찰서 출석요구서나 긴급재난지원금 신청서 등을 사칭한 악성 메일이 발견돼 사용자들의 주의가 요구된다. 보안 전문 기업 이스트시큐리티(대표 정진일)는 여러 사회적 관심사와 불안심리를 파고든 해킹 메일이 국내에 대량 유포 중이라고 밝혔다.
▲출석요구서 사칭 악성 워드 문서[자료=이스트시큐리티]
이스트시큐리티 시큐리티대응센터(이하 ESRC)는 지난 3월 25일부터 지금까지 ‘코로나 19 방역수칙 위반 피의사건 수사관련 출석통지서’, ‘긴급재난지원금 신청서 양식’ 등 사용자들의 관심과 불안을 야기하는 이름의 악성 워드(DOC) 문서 파일을 첨부한 해킹 메일이 국내에 대량 유포되고 있음을 확인했다.
이번 공격은 ESRC가 지난 3월 25일 공개한 ‘한국인터넷정보센터(KRNIC)를 사칭한 공격’의 연장선으로 파악됐으며, 이메일에 첨부된 워드 파일에는 악성 매크로 명령이 공통적으로 사용된 유형으로 분석됐다.
공격자는 수신자로 하여금 ‘콘텐츠 사용’ 버튼을 눌러 악성 매크로의 활성화를 유도하는데, 해당 버튼을 누르게 되면 실제 문서 화면을 보여주며 위협에 노출된 것을 최대한 숨기게 만든다. 다만, 일부 공격의 경우 마치 문서내용이 손상된 것처럼 깨진 문구를 보여주는 단순 속임수 전략을 구사했다.
만약 악성 매크로가 허용될 경우, 공격자가 지정한 명령제어(C2) 서버와 통신이 이뤄지고 사용자 몰래 추가 악성 파일을 설치한다. 그리고 △사용자 이름 △백신 프로그램 종류 △운영체제 종류 △시스템 버전 정보 등을 수집해 은밀히 유출을 시도한다. 이렇게 유출된 1차 정보는 단계적 후속 공격에 필요한 제반 환경을 제공해 주는 만큼, 이메일을 확인함에 있어 항시 각별한 주의가 필요하고, 워드나 엑셀 문서 등의 ‘콘텐츠 사용’ 버튼은 보안상 허용하지 않는 것이 매우 중요하다.
▲대량 유포 중인 악성 워드 파일 타임 라인[자료=이스트시큐리티]
현재, 이스트시큐리티의 백신 프로그램 알약에서는 해당 악성코드들을 ‘Trojan.Downloader.DOC.Gen’ 등으로 탐지 중이며, 추가적인 변종에 대해서도 지속적으로 대응 중이다.
ESRC 관계자는 “최근 사이버 위협 조직들이 유포하는 해킹 메일의 수법이 갈수록 정교하고 교묘해지고 있다”며, “해킹 메일을 통해 불특정 다수의 PC정보가 외부로 무단 유출되는 것은 향후 예기치 못한 추가 피해로 이어질 수 있는 전초 단계로 볼 수 있다”며 사용자들의 주의를 당부했다.
한편, 이스트시큐리티는 이와 관련된 사이버 위협 정보를 한국인터넷진흥원(KISA) 등 관계 당국과 긴밀히 공유해 기존에 알려진 위협이 확산되지 않도록 협력을 유지하고 있다.
[원병철 기자(boanone@boannews.com)]
3월 말 발견된 ‘한국인터넷정보센터(KRNIC)’를 사칭한 스피어피싱 공격의 연장선
이스트시큐리티, 악성 DOC 첨부파일 실행 시 사용자 PC정보 유출 및 추가 피해 가능성 존재
[보안뉴스 원병철 기자] 최근 코로나19 방역 수칙 위반 경찰서 출석요구서나 긴급재난지원금 신청서 등을 사칭한 악성 메일이 발견돼 사용자들의 주의가 요구된다. 보안 전문 기업 이스트시큐리티(대표 정진일)는 여러 사회적 관심사와 불안심리를 파고든 해킹 메일이 국내에 대량 유포 중이라고 밝혔다.
▲출석요구서 사칭 악성 워드 문서[자료=이스트시큐리티]
이스트시큐리티 시큐리티대응센터(이하 ESRC)는 지난 3월 25일부터 지금까지 ‘코로나 19 방역수칙 위반 피의사건 수사관련 출석통지서’, ‘긴급재난지원금 신청서 양식’ 등 사용자들의 관심과 불안을 야기하는 이름의 악성 워드(DOC) 문서 파일을 첨부한 해킹 메일이 국내에 대량 유포되고 있음을 확인했다.
이번 공격은 ESRC가 지난 3월 25일 공개한 ‘한국인터넷정보센터(KRNIC)를 사칭한 공격’의 연장선으로 파악됐으며, 이메일에 첨부된 워드 파일에는 악성 매크로 명령이 공통적으로 사용된 유형으로 분석됐다.
공격자는 수신자로 하여금 ‘콘텐츠 사용’ 버튼을 눌러 악성 매크로의 활성화를 유도하는데, 해당 버튼을 누르게 되면 실제 문서 화면을 보여주며 위협에 노출된 것을 최대한 숨기게 만든다. 다만, 일부 공격의 경우 마치 문서내용이 손상된 것처럼 깨진 문구를 보여주는 단순 속임수 전략을 구사했다.
만약 악성 매크로가 허용될 경우, 공격자가 지정한 명령제어(C2) 서버와 통신이 이뤄지고 사용자 몰래 추가 악성 파일을 설치한다. 그리고 △사용자 이름 △백신 프로그램 종류 △운영체제 종류 △시스템 버전 정보 등을 수집해 은밀히 유출을 시도한다. 이렇게 유출된 1차 정보는 단계적 후속 공격에 필요한 제반 환경을 제공해 주는 만큼, 이메일을 확인함에 있어 항시 각별한 주의가 필요하고, 워드나 엑셀 문서 등의 ‘콘텐츠 사용’ 버튼은 보안상 허용하지 않는 것이 매우 중요하다.
▲대량 유포 중인 악성 워드 파일 타임 라인[자료=이스트시큐리티]
현재, 이스트시큐리티의 백신 프로그램 알약에서는 해당 악성코드들을 ‘Trojan.Downloader.DOC.Gen’ 등으로 탐지 중이며, 추가적인 변종에 대해서도 지속적으로 대응 중이다.
ESRC 관계자는 “최근 사이버 위협 조직들이 유포하는 해킹 메일의 수법이 갈수록 정교하고 교묘해지고 있다”며, “해킹 메일을 통해 불특정 다수의 PC정보가 외부로 무단 유출되는 것은 향후 예기치 못한 추가 피해로 이어질 수 있는 전초 단계로 볼 수 있다”며 사용자들의 주의를 당부했다.
한편, 이스트시큐리티는 이와 관련된 사이버 위협 정보를 한국인터넷진흥원(KISA) 등 관계 당국과 긴밀히 공유해 기존에 알려진 위협이 확산되지 않도록 협력을 유지하고 있다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
