LinkedIn 유출된 정보가 스피어피싱에 이용되고 있다.

LinkedIn(링크드인) 유출된 정보가 스피어피싱에 이용되고 있다.

Stolen LinkedIn Data Used in Personalized Email Attacks

저번달, 1억명이 넘는 LinkedIn(링크드인) 사용자들의 계정이 유출되었으며, 이미 유출된 사용자 정보들이 악의적인 공격에 사용되고 있는것으로 확인되었습니다. 

최근 지하시장에는 거래되는 사용자 개인정보들은 다양한 방식으로 악의적인 공격에 이용되고 있습니다. 

월요일, 독인 연방 CERT(CERT-BUND)는 트위터에서 사용자의 이름 혹은 특징을 언급하며 악성 영수증, 워드문서가 첨부된 이메일을 조심하라고 경고하였습니다. 공격의 타겟이 된 이메일주소들에서 언급된 이름 혹은 기업체들은 모두 LinkdIn 정보유출 사건때 유출된 정보들과 관련이 있으며, LinkedIn에 공개된 프로필과 일치한다고 밝혔습니다. 

이 스피어피싱 메일은 다른 언어들로 작성되었지만, 이메일의 내용에는 수신인의 이름과 직위, 회사 등의 정보가 포함되어 있었습니다. '간단한 방법으로는 획득할 수 없는 정보들'이 LinkedIn 정보유출 사건 이후 등장하기 시작하였으며, 공격자들은 더욱 진짜같은 이메일을 통하여 감염 성공율을 높이고 있습니다. 

Fox IT 역시 악성 이메일이 폴란드 사용자들에게 발송되었습니다. 해당 이메일 및 첨부파일 문서들은 모두 폴란드 언어로 작성되어있었습니다. 악성 메일들은 6월 7일부터 대량으로 발송되기 시작하였으며, 수신메일에는 LinkIn 사용자의 페이지에서 가져온 첫번째 이름, 성, 직위 및 회사이름이 포함되어 있었습니다. 

이 스피어피싱 이메일의 word 첨부파일명 역시 수신자의 개인정보로 설정되어 있었습니다. 

공격자는 악성 매크로 명령 및 각종 쓰잘데기 없는 문서내용으로 사용자의 클릭을 유도합니다. 그리고 매크로 명령을 이용하여 C&C 서버에서 바이너리 정보를 받아오는데, 이 정보를 분석해본 결과 The Zeus Panda Banking 악성코드로 확인되었습니다. 

Proofpoint는 4월 Panda Banker 악성코드에 대한 상세보고서를 발표한 적이 있었으며, 이는 Fox IT가 올해 2월 처음 발견한 제우스 뱅킹 악성코드를 기반으로 하고 있습니다. Panda Banker 제작자는 fast flux DNS를 이용하여 자신들의 인프라를 보호하는데, 이 방법은 이전에 제우스 악성코드가 사용했던 방법입니다. 다른 뱅킹 악성코드 역시 제우스 악성코드의 소스코드가 유출된 후에 출현하였습니다. 

LinkedIn사건은 지난 몇주동안 사람들의 주목을 받은 정보유출 사건으로, 이런 스피어피싱 공격은 지속적으로 나타날 것으로 추측됩니다. Myspace, Tumblr, VK 및 최근의 Twitter 사용자들 모두 이런 스피어피싱 이메일을 받을 가능성이 있어 주의가 필요합니다. 

출처 : 

http://www.securityweek.com/stolen-linkedin-data-used-personalized-email-attacks