• List
  • Down
  • Up
  • Write
  • Search
IT

[보안] 안랩, 다양한 업무 관련 메일로 위장해 유포 중인 악성코드 주의 당부

숙지니 숙지니
43 1 0
출처 https://www.newswire.co.kr/newsRead.php?no=1001298

안랩(대표 강석균)이 최근 다양한 업무 관련 메일로 위장해 악성코드를 유포하는 사례를 잇따라 발견하고 사용자 주의를 당부했다.

 

 

이번 사례에서 공격자는 많은 조직에서 사용 중인 클라우드 기반 그룹웨어의 ‘대용량 첨부파일’ URL을 이용해 사용자를 속이거나, 웹사이트의 저작권 위반 사항을 안내하는 가짜 메일로 악성코드를 유포했다. 사용자에게 익숙한 그룹웨어 기능을 활용하거나 업무 관련 긴급성을 강조해 사용자의 불안감을 조성하고 있어 각별한 주의가 필요하다.

안랩은 현재 V3 제품군과 샌드박스 기반 지능형 위협 (APT) 대응 솔루션 ‘안랩 MDS’에서 해당 메일로 유포 중인 악성 파일과 URL에 대한 탐지 및 실행 차단 기능을 지원하고 있다. 또한 이번 사례를 포함해 피싱 메일 공격과 연관된 IoC(침해 지표), 피싱 동향 등 전문적인 최신 위협 정보를 자사의 차세대 위협 인텔리전스 플랫폼 ‘안랩 TIP’로 제공 중이다.

클라우드 기반 그룹웨어의 대용량 첨부파일 URL에 악성코드 삽입해 유포

먼저 안랩은 클라우드 기반 그룹웨어 메일의 ‘대용량 파일 첨부 기능’을 악용한 악성코드 유포 사례를 발견했다.

최근 많은 조직에서 협업을 위해 클라우드 기반 그룹웨어를 이용하고 있는 가운데, 다수의 클라우드 그룹웨어에서는 특정 용량이 넘어가는 대용량 첨부파일은 해당 파일을 클라우드 공간에 업로드한 뒤 수신자에게는 다운로드 URL만 발송하고 있다.

공격자는 이 점을 노려 ‘견적 요청/프로젝트 순서’라는 제목의 메일에 특정 클라우드 그룹웨어가 제공하는 대용량 첨부파일 URL을 포함해 불특정 다수 사용자에게 발송했다. 메일 본문에는 ‘이상 없으면 서명 후 회신해달라’는 내용을 적어 대용량 첨부파일의 URL 클릭을 유도했다. 사용자가 평소 익숙한 업무 환경에 의심 없이 해당 URL을 클릭하면 정보탈취형(인포스틸러) 악성코드가 함께 다운로드 된다. 이 악성코드는 사용자 PC 내 다양한 정보를 수집해 공격자 서버로 전송한다.

저작권 위반 안내 메일로 위장해 악성코드 유포

유명 기업을 사칭한 저작권 위반 안내 메일로 악성코드를 유포하는 사례도 연이어 발견됐다. 메일 본문에는 ‘(사용자가 소속된)조직의 웹사이트가 저작권을 침해하는 콘텐츠를 포함하고 있어 즉시 조치가 필요하다’는 내용이 담겨 있다. 이와 함께 ‘저작권 침해 콘텐츠를 확인하십시오’라는 문구에 URL을 삽입해 사용자의 클릭을 유도했다.

이번 위장 공격 사례에서 사용자가 메일 내 URL이 삽입된 문구를 클릭하면 실행파일(.exe)과 DLL 파일 등이 포함된 압축파일이 다운로드 된다. 특히 실행파일의 경우, 파일명에 ‘.pdf’를 삽입한 뒤 공백을 길게 입력해 사용자가 해당 파일의 실제 확장자인 ‘.exe’를 인식하지 못하게 제작했다. 사용자가 pdf로 위장한 exe 파일을 무심코 실행하면 악성 DLL 파일이 자동으로 실행되어 악성코드를 내려받게 된다. 공격자는 감염 PC에서 시스템 및 계정 정보 탈취, 키보드 입력값 모니터링, 웹캠 접근 등과 같은 다양한 악성 행위를 수행할 수 있다.
※ DLL(Dynamic Link Library, 동적 링크 라이브러리): 부가 기능 및 함수 추가 등을 위해 여러 윈도우 프로그램에서 동시에 불러 쓸 수 있는 코드와 데이터를 포함한 파일

피해 예방을 위해 조직 내 개인은 △출처가 불분명한 메일 속 URL 및 첨부파일 실행 금지 △어피스 SW, OS 및 인터넷 브라우저 등 프로그램 최신 보안 패치 적용 △백신 최신 버전 유지 및 실시간 감시 기능 실행 등 기본 보안 수칙을 지켜야 한다. 또한, 조직 차원에서는 △조직 내 PC, OS(운영체제), SW, 웹사이트 등에 대한 수시 보안 점검 및 패치 적용 △보안 솔루션 활용 및 내부 임직원 보안교육 실시 △위협 인텔리전스 서비스 활용으로 최신 보안 위협 파악 등 예방 대응책을 마련해야 한다.

이번 사례를 분석한 안랩 분석팀 장서준 선임은 “다양한 업무 환경 및 상황을 노린 사이버 공격은 꾸준히 있어 왔지만, 최근 그 방식이 더욱 교묘하고 정교해지고 있다”며 “조직의 계정 정보가 유출될 경우 또 다른 경로에서 유출된 조직 관련 정보와 결합해 추가 피해로 이어질 수 있기 때문에 개인과 조직의 각별한 주의가 필요하다”고 강조했다.

 

 

숙지니 숙지니
125 Lv. 313099/317520EXP

지름의 기준 : 기기의 외모, 여캐

헤드폰

 뉴토피아, 서스바라, 스텔스, D9200, NA70P,  네린자작폰, HD620s

 

이어폰

 설월화, 아우라,  페이완, 엠퍼러, 레이븐 LE, 테서렉트, 멘토, 알파Ti, 애니마V2, 튜리티, 쇼막삼, 퍼페츄어일루미네이션, 카구야, ie900, R10, se846, 유메 2, 메이, RE-1 Pro, ew100p,...

 

오픈형 이어폰

 ES-P2, 샤콘느, A8, 오르바나에어, FF5, YE02, U2, X10, YD30, EB2S Pro, YDX, 스노우 로터스, 발포드

 

스탁스

 L500, SRM212, SRS-002

 

거치형, 포터블, 꼬다리

 CMA15, Pro iCAN Sig.

 SP3000, CMA18P, 마스코보 475,  AK300

  문리버2Ti, DC06

 

지나간 것들..

포스텍스 T50 50주년, T50rp mk3

소니 MV1, MDR-1A limited

오디지 LCD2C, Sine

64오디오 U12t, 볼루어

팻프릭 그랜드마에스트로

유니크멜로디 맥스, 메스트mk2

소프트이어스 이니그마

에티모틱 ER4SR

젠하이저 IE800, HD600

AKG N5005, K3003

베이어다이나믹 셀렌토2

JH audio 앤지

엠파이어이어스 브라바도 mk2

씨오디오 브레이버리rb, 유메울트라, 유메, 린코 블랙/화이트

수월우 란, 카토, 아리아2, 스타필드2, 네코

트루스이어 노바, 제로 레드, 홀라

디타 프로젝트M

하이비x에프오디오 프로젝트ACE

에프오디오 스프링

유코텍 RE-3

7Hz 타임리스ae, 소너스

탕주 두보

렛슈어 갈릴레오

바이너리 쇼팽

심갓 ea500

탠치짐 제로, 4U, 오리진

ifi 그리폰

샨링 H7

토핑 E50

모노리스THX888

등등등.. 

 

ReportShareScrap
purplemountain purplemountain님 포함 1명이 추천

Comment 0

Comment Write
You do not have permission to access. Login
WYSIWYG

Report

"님의 댓글"

Are you sure you want to report this comment?

Comment Delete

"님의 댓글"

I want to Are you sure you want to delete?

Share

Permalink