job1-info[.]com 등 사용... 윈도 폴더 보기 기본 설정 옵션을 악용해 정상 파일로 유도
C&C 명령 통해 카카오톡 PC버전 ID 정보 탈취 기능 추가, 지속적 고도화 진행 중
이스트시큐리티, “다수의 피싱 도메인 사용 이력 확인, 향후 유사 공격에 각별히 주의 필요”
[보안뉴스 김영명 기자] 최근 국내 구인구직 사이트와 유사한 도메인을 이용한 악성코드 공격이 포착돼 사용자 주의가 요구되고 있다. 이번 공격은 기존에 공개된 다수의 공격들과 유사하게 입사지원서 이메일을 위장한 피싱 메일을 통해 진행됐다.
▲입사지원서 메일을 위장한 해킹 메일 화면[자료=이스트시큐리티]
통합 보안 기업 이스트시큐리티(대표 정진일)는 16일, 구인구직 사이트와 유사한 도메인으로 가장해 입사지원서를 위장한 악성파일이 유포됐다고 밝혔다. 특히, 이번 악성파일은 이메일 내 첨부돼 있는 악성 링크의 도메인 주소를 실제 존재하는 국내 구인구직 사이트와 유사하게 생성해 마치 실제 구인구직 사이트를 통해 파일이 내려오는 것처럼 보이도록 유도하고 있다.
이번 공격에는 ‘job1-info[.]com’ 도메인이 활용됐으며, 이는 실제 구인구직 사이트인 잡인포의 도메인 주소를 모방한 것으로 볼 수 있다. 공격에 악용된 C&C 서버 IP 주소를 추가 조사한 결과 △job3-info[.]com △jd-albamon[.]com △jobdown3[.]com 등의 도메인 사용 이력이 존재해 다수의 유사 공격이 이미 진행됐다는 것을 알 수 있다.
▲악성 .EXE 파일이 포함된 .CAB 파일[자료=이스트시큐리티]
이메일 수신자가 해당 링크를 클릭하면, 공격자 서버에서 ‘오**-hwp(입사지원서).exe’ 파일명의 악성 실행파일이 포함돼 있는 캐비닛 파일(.CAB)이 내려온다. 윈도의 폴더 보기 옵션은 기본적으로 해제돼 있어, 사용자가 따로 설정하지 않는 이상 개별 파일의 파일 확장자가 보이지 않는다. 공격자는 이런 점을 악용하고 파일명에 hwp 단어를 추가해 한글 문서파일처럼 보여 실행하도록 유도했다.
만약 사용자가 내부에 포함돼 있는 exe 파일을 실행하면 백그라운드에서는 ‘netscore.exe’ 프로그램을 실행시키며, 사용자 화면에는 실제 이력서처럼 위장한 디코이 파일을 보여줘 사용자가 공격임을 인지하지 못하도록 유도한다.
▲사용자를 속이기 위해 보여주는 디코이 파일[자료=이스트시큐리티]
‘netscore.exe’ 파일은 감염 PC 정보를 수집해 특정 서버(b.center-main[.]com, a.center-main[.]com)로 전송한다. 해당 파일은 공격자의 명령에 따라 음성녹음, 폴더 및 파일 정보 수집 등 다양한 추가 악성 행위를 할 수 있는 명령 제어 기능도 다수 포함하고 있다.
구인구직 사이트와 유사한 악성 URL을 이용해 악성파일을 유포하는 공격은 2021년 상반기에 최초로 발견됐으며, 최근 들어 그 공격 빈도가 잦아지고 있다. 그뿐만 아니라, 해당 입사지원 파일을 통해 다운로드 되는 악성코드가 카카오톡 PC 버전의 ID 정보 탈취 등 악성 페이로드의 명령 제어 기능도 지속해서 추가되고 있어 사용자들의 각별한 주의가 필요하다.
이스트시큐리티 시큐리티대응센터(ESRC) 관계자는 “입사지원서를 위장한 피싱 메일을 통한 공격은 공격자들이 즐겨 사용하는 공격 방식 중 하나”라며 “공격자들은 입사지원서라는 동일한 주제로 다양한 형태의 공격 방식을 연구하고 있는 만큼, 이메일 내 첨부파일이나 링크 클릭 시 반드시 주의해야 한다”고 밝혔다.
한편, 이스트시큐리티는 연관 악성 파일의 탐지 기능을 알약(ALYac) 제품에 긴급 업데이트했으며, 피해 확산 방지를 위한 대응 조치를 국가사이버안보협력센터(NCCC)와 한국인터넷진흥원(KISA) 등 관련 부처와 긴밀하게 협력하고 있다고 덧붙였다.
[김영명 기자(boan@boannews.com)]
C&C 명령 통해 카카오톡 PC버전 ID 정보 탈취 기능 추가, 지속적 고도화 진행 중
이스트시큐리티, “다수의 피싱 도메인 사용 이력 확인, 향후 유사 공격에 각별히 주의 필요”
[보안뉴스 김영명 기자] 최근 국내 구인구직 사이트와 유사한 도메인을 이용한 악성코드 공격이 포착돼 사용자 주의가 요구되고 있다. 이번 공격은 기존에 공개된 다수의 공격들과 유사하게 입사지원서 이메일을 위장한 피싱 메일을 통해 진행됐다.
▲입사지원서 메일을 위장한 해킹 메일 화면[자료=이스트시큐리티]
통합 보안 기업 이스트시큐리티(대표 정진일)는 16일, 구인구직 사이트와 유사한 도메인으로 가장해 입사지원서를 위장한 악성파일이 유포됐다고 밝혔다. 특히, 이번 악성파일은 이메일 내 첨부돼 있는 악성 링크의 도메인 주소를 실제 존재하는 국내 구인구직 사이트와 유사하게 생성해 마치 실제 구인구직 사이트를 통해 파일이 내려오는 것처럼 보이도록 유도하고 있다.
이번 공격에는 ‘job1-info[.]com’ 도메인이 활용됐으며, 이는 실제 구인구직 사이트인 잡인포의 도메인 주소를 모방한 것으로 볼 수 있다. 공격에 악용된 C&C 서버 IP 주소를 추가 조사한 결과 △job3-info[.]com △jd-albamon[.]com △jobdown3[.]com 등의 도메인 사용 이력이 존재해 다수의 유사 공격이 이미 진행됐다는 것을 알 수 있다.
▲악성 .EXE 파일이 포함된 .CAB 파일[자료=이스트시큐리티]
이메일 수신자가 해당 링크를 클릭하면, 공격자 서버에서 ‘오**-hwp(입사지원서).exe’ 파일명의 악성 실행파일이 포함돼 있는 캐비닛 파일(.CAB)이 내려온다. 윈도의 폴더 보기 옵션은 기본적으로 해제돼 있어, 사용자가 따로 설정하지 않는 이상 개별 파일의 파일 확장자가 보이지 않는다. 공격자는 이런 점을 악용하고 파일명에 hwp 단어를 추가해 한글 문서파일처럼 보여 실행하도록 유도했다.
만약 사용자가 내부에 포함돼 있는 exe 파일을 실행하면 백그라운드에서는 ‘netscore.exe’ 프로그램을 실행시키며, 사용자 화면에는 실제 이력서처럼 위장한 디코이 파일을 보여줘 사용자가 공격임을 인지하지 못하도록 유도한다.
▲사용자를 속이기 위해 보여주는 디코이 파일[자료=이스트시큐리티]
‘netscore.exe’ 파일은 감염 PC 정보를 수집해 특정 서버(b.center-main[.]com, a.center-main[.]com)로 전송한다. 해당 파일은 공격자의 명령에 따라 음성녹음, 폴더 및 파일 정보 수집 등 다양한 추가 악성 행위를 할 수 있는 명령 제어 기능도 다수 포함하고 있다.
구인구직 사이트와 유사한 악성 URL을 이용해 악성파일을 유포하는 공격은 2021년 상반기에 최초로 발견됐으며, 최근 들어 그 공격 빈도가 잦아지고 있다. 그뿐만 아니라, 해당 입사지원 파일을 통해 다운로드 되는 악성코드가 카카오톡 PC 버전의 ID 정보 탈취 등 악성 페이로드의 명령 제어 기능도 지속해서 추가되고 있어 사용자들의 각별한 주의가 필요하다.
이스트시큐리티 시큐리티대응센터(ESRC) 관계자는 “입사지원서를 위장한 피싱 메일을 통한 공격은 공격자들이 즐겨 사용하는 공격 방식 중 하나”라며 “공격자들은 입사지원서라는 동일한 주제로 다양한 형태의 공격 방식을 연구하고 있는 만큼, 이메일 내 첨부파일이나 링크 클릭 시 반드시 주의해야 한다”고 밝혔다.
한편, 이스트시큐리티는 연관 악성 파일의 탐지 기능을 알약(ALYac) 제품에 긴급 업데이트했으며, 피해 확산 방지를 위한 대응 조치를 국가사이버안보협력센터(NCCC)와 한국인터넷진흥원(KISA) 등 관련 부처와 긴밀하게 협력하고 있다고 덧붙였다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)