이스트시큐리티(대표 정상원) 시큐리티대응센터(ESRC)는 25일 국내 항공사의 전자 항공권 확인증으로 위장한 해킹 이메일이 다수 유포되고 있다고 밝혔다.
해킹 이메일은 이번 공격이 한국어로 작성된 ‘**항공 e-티켓 확인증입니다’ 제목에 악성 파일을 첨부해 사용자를 현혹하고 있다.
악성 이메일에는 ‘e-Ticket 확인증_95291015.iso’ 파일명의 압축 파일이 첨부돼 있다. 압축을 해제하면 아이콘과 확장자명을 PDF 문서로 위장한 ‘e-Ticket 확인증_66016630.pdf.scr’ 파일이 나타난다.
공격자는 발신지 이메일 주소를 다양하게 만들어 차단과 추적을 어렵게 만들고 있다. 해당 악성 파일이 실행되면 특정 명령 제어(C2) 서버로 통신해 추가 악성코드를 내려받고 실행하게 만든다.
ESRC는 공격에 사용된 악성 코드를 분석한 결과, 상반기 중 한국 기업의 액티브디렉토리(AD) 서버를 대상으로 랜섬웨어 '클롭'을 유포한 러시아 기반 추정의 ‘TA505’ 조직이 위협 배후에 가담하고 있는 것으로 의심했다.
이 조직은 지난달 ‘송금증 $114.36’라는 내용의 악성 이메일을 한국에 전파했다. 이전에는 주로 ‘XLS’, ‘DOC’ 등 문서 파일의 매크로 기능을 활용했지만 이번에는 압축 파일 내 PDF 문서 파일로 위장한 실행파일을 첨부했다.
이메일에 첨부됐던 악성 코드에 감염될 경우 공격자가 지정한 특정 C2 서버와의 통신을 통해 공격자가 감염된 PC를 원격지에서 제어할 수 있게 된다. 추가 악성코드 설치도 가능해진다. ESRC는 특정 기업 내부 환경을 노려 맞춤형 랜섬웨어를 유포할 것으로 추정했다.
관련기사
- 암호화폐 거래소 회원 노린 피싱 메일 공격 성행2019.07.25
- 국내 정보보호 업계 4인, ISLA 2019 수상2019.07.25
- '갠드크랩' 사라진 2분기...랜섬웨어 차단 횟수 22% ↓2019.07.25
- 네이버 로그인 사이트 가장한 '스피어피싱' 주의2019.07.25
문종현 ESRC센터장 이사는 “사회공학적 기법과 유창한 한글로 현혹한 악성 이메일을 유포하고 있어 유사 보안 위협에 노출되지 않도록 각별히 주의해야 한다”고 강조했다.
현재 이스트시큐리티는 한국인터넷진흥원(KISA)과 협력해 해당 악성코드의 명령제어 서버 차단과 긴급 모니터링 등 피해 규모 감소를 위한 조치를 진행하고 있다. 보안 백신 프로그램 '알약'에서 공격에 사용된 악성코드를 탐지, 차단할 수 있도록 긴급 업데이트도 완료했다.
