금융 및 대출 자료로 위장한 스피어피싱 주의

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

2018년 01월 08일 새벽 시간대 금융관련 내용으로 스피어피싱(Spear Phishing) 표적공격이 진행되었습니다.

▶ 문서파일 취약점을 활용한 파일리스(Fileless) 악성코드의 스텔스 위협

▶ 사망한 아이돌 가수 마지막 영상과 유서로 위장한 악성 프로그램 등장

▶ 문서파일 취약점 공격과 한국 가상화폐 거래자 대상 공격간의 연관성 분석

▶ 연말 채용 구인 공고 내용으로 위장한 가상화폐 채굴 감염 공격 주의

▶ [주의] 가상화폐 채굴 공격으로 귀환한 비너스락커 랜섬웨어 제작자

공격자는 한메일 서비스를 이용했으며, '바젤3 관련자료' 등으로 위장한 이메일 제목을 사용했습니다.

※ (참고사항) 바젤3 란?

바젤3(Basel 3)이란 스위스 바젤에 본부를 둔 국제결제은행 산하의 바젤은행감독위원회에서 글로벌 금융위기 재발방지를 위해 내놓은 개혁안으로 은행자본 건전화 방안이라고 말합니다.

이처럼 금번 공격은 일반인들이 다소 생소한 금융관련 내용을 담고 있는 것이 특징입니다.

01월 08일 발견된 실제 사례를 살펴보면 다음과 같고, 비교적 정확한 한글 표현을 사용하고 있습니다.

[그림 1] 실제 공격에 사용된 스피어피싱 사례 화면

이메일에는 '바젤3등.egg' 압축 파일이 첨부되어 있으며, 내부에는 3개의 악성 파일이 포함되어 있습니다.

- 모집인_대출확인절차체크리스트.exe

- 바젤3 번역본.exe

- 부가자료리스트.exe

압축에 포함되어 있는 3개의 파일은 서로 다른 종류이며 행위도 다르지만, 모두 같은 악성 파일 설치를 수행하고 있습니다.

각각의 파일들은 NSIS(Nullsoft Scriptable Install System) 포맷으로 압축되어 있으며, 내부에는 공통적으로 'Server1.exe' 악성 파일이 존재합니다.

[그림 2] 악성파일 구조 설명 화면

'바젤3등.egg' 압축 파일에 포함되어 있던 3개의 파일은 실행 시 각각 정상적인 화면을 출력해 이용자로 하여금 정상적인 파일로 인식하도록 유도합니다.

2개는 PDF 정상 문서를 보여주고, 나머지 하나는 외국 여성의 이미지 사진(부분 모자이크 처리)을 보여주고 있습니다.

[그림 3] 악성 파일 실행시 보여지는 정상 문서와 이미지 사진

실제 악의적인 기능을 수행하는 'Server1.exe' 파일은 명령제어서버인 '210.4.90.135 (KR/VPN)' IP 주소로 접속을 시도하고 공격자의 추가 명령을 대기하게 됩니다. 또한, 드라이브 상위 경로에 'autorun.inf' 파일을 생성해 자동실행 기능을 활용하기도 합니다.

이처럼 나름 정교하고 유창한 한국어를 기반으로 한 표적공격이 꾸준히 발견되고 있으므로, 인터넷 이용자 분들은 의심스러운 메일에 현혹되지 않도록 각별한 주의가 필요합니다.

현재 알약에서는 이번 해킹 공격에 사용된 악성 문서를 ‘Trojan.Agent.895014C’ 등으로 탐지하고 있습니다.

또한 스피어피싱 피해를 예방하기 위한 ‘보안 수칙 3선’을 권고 드립니다.

<스피어피싱 피해 예방 보안 수칙 3선>

1. 출처가 불분명한 이메일의 첨부 파일은 절대 열지 않는다.

: 출처를 알 수 없는 이메일의 첨부 파일은 열람을 지양하고, 확인이 필요한 경우 미리보기 기능을 이용해서 문서를 확인하는 것이 안전합니다.

 

2. 사용중인 문서작성 프로그램의 보안업데이트를 항상 최신으로 유지한다.

: 정상적인 문서 파일로 위장하였으나, 실제로는 문서 파일의 취약점을 악용한 악성 파일이 빈번히 발견되고 있습니다.

3. 알약 등 신뢰할 수 있는 백신을 사용하고, DB업데이트 상태를 최신으로 유지한다.

: 백신프로그램과 함께 취약점 공격에 대비한 보안솔루션을 함께 설치하면, 해킹 공격으로부터 더욱 안전하게 사용자PC를 지킬 수 있습니다.