포스팅 내용

악성코드 분석 리포트

'전쟁과여성인권박물관' 등을 사칭한 악성 이메일 유포 주의



안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다.


'전쟁과여성인권박물관'은 18일(토) 공식 홈페이지 안내를 통해 해킹 메일 발송 관련 주의 공지를 게시 하였습니다.



안녕하세요. 전쟁과여성인권박물관입니다.

저희 전쟁과여성인권박물관 다음 메일 계정(war_women@hanmail.net)이 해킹을 당하여 

많은 분들께 대량 스팸 메일이 발송되었습니다.


위 박물관 계정으로 발송된 '견적서 요청'이라는 제목의 메일은 

내용 확인하지 마시고 삭제 조치하시길 당부드립니다.



[그림 1] 전쟁과여성인권박물관 홈페이지 공지사항 화면



더불어 언론사 등을 통해 주의내용이 안내되고 있습니다.



[연합뉴스] 일본군 위안부 박물관 사칭 이메일 유포…경찰, 주의 당부

https://www.yna.co.kr/view/AKR20200718043400004?input=1195m



박물관 공지사항에 따르면 전쟁과여성인권박물관의 Daum 한메일 계정(war_women@hanmail.net)이 해킹되어 '견적서 요청'이라는 제목의 이메일이 불특정 다수에게 발송 되었습니다.


언론에 공개된 추가 내용에 의하면 이메일에는 '8/29까지 견적 요청드립니다. 수고하십시오'라는 문구와 함께 박물관 실제 주소와 연락처, 후원계좌 번호 등이 적혀 있지만, 박물관은 이런 이메일을 전혀 발송한 바 없다고 밝혔습니다. 또, 이메일에는 '인용문.htm' 이름의 파일이 첨부돼 있는 것으로 알려졌습니다.


한편, ESRC는 이와 거의 유사한 형태의 악성 이메일이 토요일 오후에 전파된 것을 발견했습니다.


발신지는 Daum 한메일 계정이 사용되었지만 이메일 주소는 'war_women' 주소가 아니라 'kystime' 아이디가 사용 되었습니다. 그러나 이메일 제목과 첨부 파일명은 전쟁과여성인권박물관에서 공개된 내용과 형식이 일치합니다. 



[그림 2] 견적요청의 건 제목과 인용문 파일이 첨부된 악성 이메일 화면



악성 이메일의 발신지 아이피 주소를 조사해 볼 결과 한국소재로 할당된 대역으로 확인되었습니다. 물론, 공격자는 서로 다른 아이피 대역을 통해 악성 이메일을 발송할 수 있습니다.



발신지 아이피 주소 : 210.217.18.76 (KR)



만약 수신자가 이메일에 첨부되어 있던 '인용문.htm' 파일을 실행하면 기본으로 설정된 웹 브라우저가 실행되고, 아래와 같이 마치 보안 기능이 설정된 어도비 문서(PDF) 열람을 위해 이메일 주소와 암호를 입력하도록 유도합니다.



[그림 3] Purchase Order.pdf 문서 보기 유도 화면



해당 화면에 이메일 주소와 암호를 입력하고 [View PDF Document] 버튼을 누르면, 입력된 개인정보는 공격자가 지정한 해외 서버로 유출됩니다. 그리고 화면은 정상적인 어도비 사이트로 변경하여 이용자가 착각하도록 만듭니다.


개인정보가 유출되는 피싱 사이트 서버 주소는 다음과 같습니다.



* IP 주소

- 192.185.104[.]173


* Domain 주소

- http://backupessential[.]com/copex.php

- http://backupessential[.]com/zenit.php

- http://backupessential[.]com/name.php



[그림 4] 피싱 공격을 통해 탈취된 이메일 주소와 암호 화면



ESRC는 해당 악성파일 변종이 국내에 지속전파되고 있다는 것을 확인하였으며, 최근 유사 변종도 확보해 알약(ALYac) 백신제품에 긴급 업데이트 하였습니다.


그리고 공격자가 사용한 악성 호스트 주소도 탐지 패턴에 신속하게 추가하였습니다.


https://www.virustotal.com/gui/url/76780c10f94f4f9406a61727855b4167a73996cde5be6d353f512adb34362be1/detection


https://www.virustotal.com/gui/file/d3c320c47b50e67f1dff0ac9ead271a298ed7ecea42216c69c44a379934f668d/detection




[그림 5] 바이러스 토탈 탐지 현황





티스토리 방명록 작성
name password homepage