상세 컨텐츠

본문 제목

서브웨이 마케팅 시스템 해킹, TrickBot 악성 이메일 전송해

국내외 보안동향

by 알약4 2020. 12. 14. 14:00

본문

Subway marketing system hacked to send TrickBot malware emails

 

영국 서브웨이가 마케팅 캠페인에 사용된 시스템이 해킹되어 고객들에게 악성코드가 포함된 피싱 이메일이 전송되었다고 밝혔습니다.

 

현지 시간으로 12월 11일, 영국의 서브웨이 고객은 ‘Subcard’로부터 주문이 완료되었다는 수상한 이메일을 받기 시작했습니다.

 

이메일에는 클릭할 경우 주문을 확인할 수 있다고 주장하는 링크가 포함되어 있었습니다.

 

 

 

<영국 서브웨이에서 전송된 피싱 이메일>

<이미지 출처: https://twitter.com/KukiChatbotDev/status/1337334633541808128>

 

 

해당 피싱 이메일을 분석한 결과 TrickBot 악성코드의 최신 버전을 설치하는 악성 엑셀 문서를 배포하고 있는 것으로 밝혀졌습니다.

 

 TrickBot은 공격자가 저장된 브라우저 비밀번호를 훔치고, 네트워크를 통해 확산시키고, 브라우저 쿠키를 훔치고, RDP/VNC/PuTTY 자격 증명 등을 훔치는데 사용하는 악성코드입니다.

 

또한 TrickBot은 감염된 컴퓨터에 Ryuk이나 Conti 랜섬웨어를 추가로 설치할 수 있어 더욱 위험합니다.

 

이 이메일은 고객의 이름을 포함하고 있었으며 일부 사용자는 서브웨이에 가입할 용도로 만든 이메일을 사용했기 때문에 서브웨이가 해킹을 당한 것이 아닌가 하는 의혹이 생겨났습니다.

 

Bleeping Computer가 해킹 캠페인에 대해 서브웨이에 연락해 본 결과, 이메일 시스템이 공격을 받았음을 알리는 답변을 받았습니다.

 

“이메일 시스템이 공격을 받았으며, 일부 고객이 승인되지 않은 이메일을 받은 사실을 인지하고 있습니다. 현재 문제를 조사하는 중이며, 불편을 끼치게 되어 죄송합니다. 추가 정보를 확인하는 대로 연락을 드리도록 하겠습니다. 사전 예방 조치를 위해 이메일을 삭제할 것을 권장 드립니다.”

 

서브웨이, 공격에 악용된 해킹된 서버 확인해

 

서브웨이의 시스템에서 발생한 ‘방해’와 관련해 몇 차례 이메일을 보낸 결과, 서브웨이는 회사의 이메일 캠페인을 담당하는 서버가 해킹되어 피싱 이메일을 발송했다고 밝혔습니다.

 

 “문제를 조사한 결과, 게스트 계정이 해킹되었다는 증거는 찾을 수 없었습니다. 하지만 이메일 캠페인을 관리하는 시스템이 해킹되어 고객의 이름과 이메일을 사용한 피싱 캠페인에 악용되었습니다. 이 시스템에는 은행 또는 신용카드 정보가 포함되어 있지 않았습니다.”

 

 “문제를 해결하기 위한 작업이 시작되었으며, 해킹된 시스템은 중단된 상태입니다. 우리는 고객 및 고객의 개인 데이터를 최우선으로 생각하며, 이로 인해 불편을 겪게 해드린 점에 대해 사과 드립니다.”

 

 

<공격과 관련한 영국 서브웨이의 이메일 공지>

<이미지 출처: https://www.bleepingcomputer.com/news/security/subway-marketing-system-hacked-to-send-trickbot-malware-emails/>

 

 

이 이메일을 수신했으며 실수로 악성 엑셀 문서를 클릭한 경우, 작업 관리자에서 'Windows Problem Reporting'이라는 프로세스를 찾아 TrickBot의 최신 버전을 확인해볼 수 있습니다.

 

해당 프로세스를 발견한 경우 ‘작업 끝내기’ 버튼을 누르시기 바랍니다.

  

 

<이미지 출처: https://www.bleepingcomputer.com/news/security/subway-marketing-system-hacked-to-send-trickbot-malware-emails/>

 

 

또한 바이러스 백신 소프트웨어를 사용하여 시스템을 철저히 검사한 후 발견된 모든 것을 치료하시기 바랍니다.

 

Bleeping Computer는 얼마나 많은 고객이 피해를 입었는지, 해당 서버에 다른 고객 정보가 저장되었는지 확인하기 위해 서브웨이측에 다시 한번 연락 하였으나 아직까지 답변을 받지 못한 상태입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/subway-marketing-system-hacked-to-send-trickbot-malware-emails/

 

저작자표시 비영리 변경금지

'국내외 보안동향' 카테고리의 다른 글

Molerats 그룹의 새로운 악성코드, 구글과 페이스북의 서비스 악용해  (0) 2020.12.15
구글, 인증 시스템 중단으로 일시적으로 서비스 중단 돼  (0) 2020.12.15
PgMiner 봇넷, 취약한 PostgreSQL 데이터베이스 공격  (0) 2020.12.14
도난당한 MySQL 데이터베이스 25만 개, 다크웹에 판매돼  (0) 2020.12.11
Cisco, Jabber의 치명적인 RCE 취약점 수정  (0) 2020.12.11

관련글 더보기

댓글 영역

티스토리툴바