견적·구매 문의에다 대북관련 질의서까지... 요즘 메일은 악성코드 ‘지뢰밭’

2021-04-12 18:03
  • 카카오톡
  • 네이버 블로그
  • url
최근 정보 유출 악성코드 ‘스네이크 키로거(Snake Keylogger)’ 스팸메일 통해 유포
대북관련 질의서로 위장한 악성 한글 파일도 유포...수신 메일 확인시 각별한 주의 필요


[보안뉴스 권 준 기자] 최근 견적·구매 관련 문의 메일로 위장한 악성코드 ‘스네이크 키로거(Snake Keylogger)’ 유포가 급증하고 있는 것으로 드러났다. 이와 함께 대북관련 질의서가 담긴 한글문서가 국가지원 해커조직으로부터 유포되는 등 현재 수신 메일 상당수에 악성코드가 포함된 ‘지뢰밭’ 형국이 되고 있다.


▲견적·구매 관련 문의 메일로 위장한 Snake Keylogger 포함 악성 메일[자료=안랩 ASEC 분석팀]

보안전문 업체 안랩 ASEC 분석팀에 따르면 최근 스팸 메일을 통해 유포되고 있는 Snake Keylogger는 닷넷으로 만들어진 정보 유출 악성코드로써, ASEC 분석팀에서 매주 집계하는 주간 통계에서도 Top 5 순위에 꾸준히 포함되고 있는 것으로 드러났다.


▲4월 1주차 주간 악성코드 통계[자료=안랩 ASEC 분석팀]

Snake Keylogger는 주로 스팸 메일을 통해 유포되는 정보 유출 악성코드라는 점에서 근래 가장 많이 유포되고 있는 ‘AgentTesla’ 악성코드와 유사한 점이 많은 것으로 분석됐다. Snake Keylogger도 AgentTesla처럼 메일 즉 SMTP 프로토콜을 이용한 정보 유출 기능을 지원한다. 악성코드를 첨부한 스팸 메일을 통해 유포되는 악성코드들로는 AgentTesla 외에도 Lokibot, Formbook, AveMaria, Remcos 같은 인포스틸러(정보탈취) 및 RAT 악성코드들이 있다.

해당 악성코드는 전형적인 견적·구매 관련 메일로 위장한 것들이 대다수다. 더욱이 Snake Keylogger 등과 같은 닷넷 악성코드들은 빌더를 이용해 생성된 악성코드에 대한 파일 진단을 회피하고, 또한 분석을 방해하기 위한 목적으로 난독화를 수행한다는 게 안랩 ASEC분석팀의 설명이다.

Snake Keylogger의 경우 지난해 말부터 유포가 확인됐지만, 그 이전 2020년 중순경부터 유포되고 있던 Matiex Keylogger와 거의 동일한 형태로 알려졌다. 기능 및 루틴, 함수명들 대부분이 동일하며 단지 난독화된 함수명에서 Snake 문자열 대신 Matiex가 사용되는 점이 차이점이라고 할 수 있다.

Snake Keylogger 또는 Matiex Keylogger는 수십 여 가지의 웹 브라우저 및 이메일 클라이언트, 그리고 FTP 클라이언트 등 다양한 프로그램들의 사용자 계정정보를 탈취할 수 있다. 이외에도 스크린샷, 클립보드, 마이크, 키로깅 기능을 활성화해 주기적으로 사용자의 개인정보를 전송받을 수 있다. 함수 이름은 최근 코로나 바이러스의 흐름에 맞춰 ‘COVID’ 키워드를 붙인 것이 특징이다.

해당 악성코드가 개인정보를 공격자에게 전달하는 방식도 다양하다. 현재 유포되고 있는 악성코드들을 보면 대부분 SMTP 즉 메일을 이용해 탈취한 정보를 공격자에게 전달하지만, Snake Keylogger는 SMTP 외에도 FTP, 텔레그램(Telegram), 디스코드(Discord)와 같은 4가지 옵션이 제공되는 것으로 알려졌다. 그럼에도 대부분은 스팸 메일을 통해 유포되고 있어 사용자들은 의심스러운 메일을 받게 된다면 첨부파일 실행을 지양해야 한다.


▲대북관련 질의서로 위장한 악성 한글파일 본문 내용[자료=안랩 ASEC 분석팀]

한편, 얼마 전에는 대북관련 질의서 내용의 악성코드가 한글문서(HWP) 형태로 유포되고 있는 정황도 안랩 ASEC 분석팀에 의해 포착됐다.

한글문서 내용은 국내 방송사에서 2020년 12월 15일 북한관련 토론 질문지로 사용된 문서가 악성코드 제작자에 의해 수정된 것으로 보인다. 이번에 발견된 악성 한글 파일은 이전에도 공유된 적이 있는 기법인 ‘링크 개체’를 포함하고 있는데, 개체를 삽입한 경로정보(C:\Users\Snow\AppData\Local\Temp)를 통해 ‘Snow’라는 이름의 컴퓨터 네임을 갖는 시스템에서 해당 문서가 제작된 것으로 추정된다는 게 ASEC 분석팀의 설명이다.

이와 관련 안랩 ASEC 분석팀은 “최근 대북과 관련된 문서 내용을 포함하고 있는 다양한 문서류가 유포 중이므로 북한 관련 업무를 수행하는 사용자 뿐만 아니라 대북관련 질의서를 위장한 문서에 속아 피해에 노출되지 않도록 모든 사용자들의 주의가 필요하다”고 강조했다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 씨프로

    • 인콘

    • 엔텍디바이스코리아

    • 핀텔

    • 아이비젼

    • 아이디스

    • 씨프로

    • 웹게이트

    • 엔토스정보통신

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 지오멕스소프트

    • 원우이엔지

    • 지인테크

    • 홍석

    • 이화트론

    • 다누시스

    • 테크스피어

    • TVT코리아

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 세연테크

    • 비전정보통신

    • 트루엔

    • 경인씨엔에스

    • 한국씨텍

    • 성현시스템

    • 아이원코리아

    • 프로브디지털

    • 위트콘

    • 다후아테크놀로지코리아

    • 한결피아이에프

    • 스피어AX

    • 동양유니텍

    • 포엠아이텍

    • 넥스트림

    • 펜타시큐리티

    • 에프에스네트워크

    • 신우테크
      팬틸드 / 하우징

    • 옥타코

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 네티마시스템

    • 아이엔아이

    • 미래시그널

    • 엣지디엑스

    • 인빅

    • 유투에스알

    • 제네텍

    • 주식회사 에스카

    • 솔디아

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 새눈

    • 에이앤티글로벌

    • 케비스전자

    • 한국아이티에스

    • 이엘피케이뉴

    • (주)일산정밀

    • 구네보코리아주식회사

    • 레이어스

    • 창성에이스산업

    • 엘림광통신

    • 에이앤티코리아

    • 엔에스티정보통신

    • 와이즈콘

    • 현대틸스
      팬틸트 / 카메라

    • 엔시드

    • 포커스에이아이

    • 넥스텝

    • 인더스비젼

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

시큐리티월드

IP NEWS

회원가입

Passwordless 설정

PC버전

닫기