최근 국내 기업의 임직원을 노린 악성코드가 잇따라 발견되고 있다. 업무나 급여 등 다양한 내용으로 임직원의 관심을 끄는 것은 물론, 악성 파일을 다운로드하는 방식에도 계속 변화를 주고 있어 각별한 주의가 요구된다.
기업 임직원을 타깃으로 하는 악성코드가 새삼스러운 것은 아니지만, 지난 10월 중순부터 연달아 유포되고 있다는 점은 관심 가질 필요가 있다. 안랩 시큐리티대응센터(AhnLab Security Emergency response Center, 이하 ASEC)가 블로그를 통해 공개한 지난 10월 중순의 사례들의 공통점과 변화를 요약했다.
직장인이라면 익숙한 용어와 파일
우선, 최근 사례는 모두 스팸 이메일을 이용하고 있는데, 이메일 제목이나 첨부 파일의 내용을 급여명세서, 견적서, 송장(invoice) 등으로 업무 관련 내용으로 위장하고 있다. 또 첨부 파일은 업무 상 자주 사용하는 엑셀 파일인 경우가 대부분이다.
특히, 지난 10월 17일부터 국내 기업을 타깃으로 ‘10월 급여명세서’, ‘○○ 견적서’, ‘송장’ 등의 제목으로 위장한 스팸 메일이 대량 유포됐다.
[그림 1] 지난 10월 유포된 스팸 메일
[그림 1]은 지난 10월 셋째 주에 실제 유포된 스팸 메일로, 첨부된 엑셀 파일을 실행하면 [그림 2]와 같이 매크로 사용을 유도하는 알림창이 나타난다.
[그림 2] 매크로 사용을 유도하는 악성 엑셀 파일
사용자가 매크로 기능을 활성화하면 악성 DLL 파일이 PC에 드롭(drop)되어 악의적인 기능을 수행한다. 주로 운영체제 등 컴퓨터 정보, 사용자 정보 등을 수집하여 공격자의 서버로 전송한다. 공격자는 이를 이용해 또 다른 악성코드를 추가로 다운로드할 수도 있다.
악성 파일을 다운로드하는 방식의 변화..첨부 파일만 주의해선 안돼
그런데, 지난 10월 22일 국내 기업을 대상으로 유포된 스팸 메일에서 미묘한 변화가 포착됐다. 직장인이라면 관심 가질 수 밖에 없는 내용의 이메일이나 엑셀 파일의 매크로 기능 사용을 유도하는 것은 동일하지만 [그림 3]과 같이 첨부 파일이 아닌 드롭박스(Dropbox)로 위장한 링크를 통해 악성 파일의 다운로드를 시도했다.
[그림 3] 드롭박스로 위장한 링크를 첨부한 스팸 메일
드롭박스(Dropbox)는 일종의 웹 하드 서비스로, 많은 기업에서 용량이 큰 파일을 사내•외로 주고받을 때 사용하고 있다. 공격자는 이 점을 노려 많은 직장인들에게 익숙한 드롭박스의 로고와 함께 악성 링크를 이메일 본문에 첨부한 것. 이 악성 링크를 통해 다운로드된 파일은 [그림 2]에서 살펴본 악성 엑셀 파일로, 매크로 기능 활성화를 유도한 후 악성 DLL 파일을 드롭하여 실행한다.
V3 제품은 최근 국내 기업 사용자를 대상으로 유포된 악성 파일을 다음과 같은 진단명으로 탐지하고 있다.
<V3 제품군 진단명>
- VBA/Loader.S1 (2019.10.18.04)
- Trojan/Win32.Reflect.R295021 (2019.10.18.03)
- Trojan/Win64.Reflect.R295103 (2019.10.18.07)
- VBA/Loader (2019.10.22.03)
- BinImage/Encpe (2019.10.22.04)
- VBA/Loader.S3 (2019.10.22.04)
- Trojan/Win32.Reflect.C3525295 (2019.10.22.04)
- Trojan/Win64.Reflect.R295367 (2019.10.22.04)
잇따라 발생한 사례에서 알 수 있는 것처럼 공격자들이 국내 기업 환경과 직장인들의 패턴 등을 파악하여 교묘하게 활용하고 있다. 따라서 업무와 관련된 제목이나 업무상 관련 있는 사람 또는 업체에서 온 메일일 경우에도 첨부 파일이나 링크를 클릭하기 전에 각별히 주의해야 한다. 또 워드나 엑셀 파일의 ‘매크로’ 기능은 가급적 사용(활성화)하지 않는 것이 좋겠다. 이와 함께 V3 제품의 엔진을 항상 최진 버전으로 유지하고 실시간 감시 기능을 켜둬야 한다.
최신 악성코드에 대한 보다 자세한 내용은 ASEC 블로그에서 확인할 수 있다.
이 정보에 대한 저작권은 AhnLab에 있으며 무단 사용 및 도용을 금합니다.
단, 개인이 비상업적인 목적으로 일부 내용을 사용하는 것은 허용하고 있으나, 이 경우 반드시 출처가 AhnLab임을 밝혀야 합니다.
기업이 이 정보를 사용할 때에는 반드시 AhnLab 의 허가를 받아야 하며, 허가 없이 정보를 이용할 경우 저작권 침해로 간주되어 법적인 제재를 받을 수 있습니다. 자세한 내용은 컨텐츠 이용약관을 참고하시기 바랍니다.
정보 이용 문의 : contents@ahnlab.com
'뉴스,지식창고 > 뉴스,이슈' 카테고리의 다른 글
국회 국민동의청원 - [청원마감]텔레그램에서 발생하는 디지털 성범죄 해결에 관한 청원 (0) | 2020.01.29 |
---|---|
국회 국민동의청원 1호 - 오토바이 자동차도로 통행 허용하라 (0) | 2020.01.16 |
[AhnLab 보안 이슈] 클롭(CLOP) 랜섬웨어 동향 및 대응 방안 (0) | 2019.07.15 |
[AhnLab]또 다시 새로운 랜섬웨어 등장, 국내 사용자 노린다! (0) | 2019.05.16 |
[안랩보안뉴스]악성 이메일의 최신 공격 기법 (0) | 2018.03.29 |
댓글