청호PENTEST - Professional Penetration Testing Company

Select Language

공격자, 한메일 사용해 금융 및 대출관련 자료로 위장해 공격시도…주의

▲ 실제 공격에 사용된 스피어피싱 사례 화면
▲ 실제 공격에 사용된 스피어피싱 사례 화면

오늘(1월 8일) 새벽 시간대 금융관련 내용으로 스피어피싱 표적공격이 확인됐다.


공격자는 한메일 서비스를 이용했으며, '바젤3 관련자료' 등으로 위장한 이메일 제목을 사용했다. 해당 메일을 받은 인터넷 이용자는 각별한 주의를 기울여야 한다.


‘바젤3(Basel3)’이란 스위스 바젤에 본부를 둔 국제결제은행 산하의 바젤은행감독위원회에서 글로벌 금융위기 재발방지를 위해 내놓은 개혁안으로 은행자본 건전화 방안이다.


8일 공격은 일반인들이 다소 생소한 금융관련 내용을 담고 있는 것이 특징이다.


이 스트시큐리티 시큐리티대응센터(ESRC) 측은 “이번 사례를 살펴보면, 비교적 정확한 한글 표현을 사용하고 있다. 이메일에는 '바젤3등.egg' 압축 파일이 첨부되어 있으며, 내부에는 3개의 악성 파일이 포함되어 있다.


압축에 포함되어 있는 3개의 파일은 서로 다른 종류이며 행위도 다르지만 모두 같은 악성 파일 설치를 수행하고 있다”고 밝혔다.

이스트시큐리티 분석 내용을 계속 살펴보면, 각각의 파일들은 NSIS(Nullsoft Scriptable Install System) 포맷으로 압축되어 있으며, 내부에는 공통적으로 'Server1.exe' 악성 파일이 존재한다.

▲ 악성파일 구조 설명 화면. 이스트시큐리티.
▲ 악성파일 구조 설명 화면. 이스트시큐리티.

'바젤3등.egg' 압축 파일에 포함되어 있던 3개의 파일은 실행 시 각각 정상적인 화면을 출력해 이용자로 하여금 정상적인 파일로 인식하도록 유도한다.

2개는 PDF 정상 문서를 보여주고, 나머지 하나는 외국 여성의 이미지 사진(부분 모자이크 처리)을 보여주고 있다.

▲ 악성 파일 실행시 보여지는 정상 문서와 이미지 사진
▲ 악성 파일 실행시 보여지는 정상 문서와 이미지 사진

실 제 악의적인 기능을 수행하는 'Server1.exe' 파일은 명령제어서버인 '210.4.90.135 (KR/VPN)' IP 주소로 접속을 시도하고 공격자의 추가 명령을 대기하게 된다. 또한 드라이브 상위 경로에 'autorun.inf' 파일을 생성해 자동실행 기능을 활용하기도 한다.


이스트시큐리티 시큐리티대응센터(ESRC) 측은 “이처럼 정교하고 유창한 한국어를 기반으로 한 표적공격이 꾸준히 발견되고 있어, 인터넷 이용자 분들은 의심스러운 메일에 현혹되지 않도록 각별한 주의가 필요하다”며 “현재 알약에서는 이번 해킹 공격에 사용된 악성 문서를 ‘Trojan.Agent.895014C’ 등으로 탐지하고 있다”고 전했다.

번호 제목 닉네임 조회 등록일
7046 CVE-2018-5308 外
[레벨:30]관리자
6 2018-01-10
7045 미 국토안보부 20만명 이상 직원 개인정보 유출
[레벨:30]관리자
4 2018-01-09
7044 한국 특정 기관 및 대북단체 표적공격용 파일리스 악성코드...스피어피싱 공격 주의
[레벨:30]관리자
3 2018-01-09
Selected 8일 새벽, 정교하고 유창한 한국어 기반 금융 관련 스피어피싱 공격 발생
[레벨:30]관리자
10 2018-01-09
7042 CVE-2018-5275 外
[레벨:30]관리자
4 2018-01-09
7041 웹캠 주의...웹캠 이용해 일반인 감찰하는 해커 커뮤니티 있다
[레벨:30]관리자
6 2018-01-08
7040 NSA해커, "바이러스 백신이 궁극의 사이버 스파이 도구일 수 있어"
[레벨:30]관리자
3 2018-01-08
7039 CVE-2018-5216 外
[레벨:30]관리자
3 2018-01-08
7038 GPS서비스, Trackmageddon 취약점 발견…제조사 패치도 안되고 있어
[레벨:30]관리자
9 2018-01-05
7037 CVE-2018-0103 外
[레벨:30]관리자
4 2018-01-05
7036 병원 타깃 채굴용 악성코드 기승 外
[레벨:30]관리자
7 2018-01-05
7035 VMWare 취약점으로 인증 우회, 파일 업로드 가능해…주의
[레벨:30]관리자
11 2018-01-04
7034 CVE-2017-1000466 外
[레벨:30]관리자
7 2018-01-04
7033 2018년 보안위협, 인공지능 기술 탑재한 공격 증가
[레벨:30]관리자
9 2018-01-03
7032 CVE-2018-3814 外
[레벨:30]관리자
6 2018-01-03
7031 워드프레스 사이트, 모네로 가상화폐 채굴 프로그램 설치 공격받아 外
[레벨:30]관리자
11 2018-01-02
7030 북한의 기도 위장한 악성앱, 또 등장...카톡으로 유포
[레벨:30]관리자
9 2018-01-02
7029 CVE-2017-17957 外
[레벨:30]관리자
12 2018-01-02
7028 모네로 노리는 해커들, 워드프레스 사이트 집중 공격
[레벨:30]관리자
15 2017-12-29
7027 인기 회계 프로그램 제로에서 온 것 같은 악성 메일
[레벨:30]관리자
12 2017-12-29
Tag List

서비스 링크

X
Login

브라우저를 닫더라도 로그인이 계속 유지될 수 있습니다. 로그인 유지 기능을 사용할 경우 다음 접속부터는 로그인을 하실 필요가 없습니다. 단, 게임방, 학교 등 공공장소에서 이용 시 개인정보가 유출될 수 있으니 꼭 로그아웃을 해주세요.

아이디가 없으신 분은

회원가입 후 이용하실 수 있습니다.

X