포스팅 내용

국내외 보안동향

[해외보안동향] 메르스 관련 뉴스, 일본 언론사 타겟 공격에 악용

메르스 관련 뉴스, 일본 언론사 타겟 공격에 악용

MERS News Used in Targeted Attack against Japanese Media Company


일본의 한 유명 언론사 직원을 타겟으로 한 스피어피싱 공격이 발견되었습니다. 공격자는 메르스 관련 뉴스를 사용하여 이메일을 통한 스피어피싱 공격을 시도했습니다. 공격자들은 야후!메일의 무료 계정을 사용하여 손쉽게 안티-스팸 필터를 우회하였으며, 인터넷에 공개되어 있는 이메일과 자료의 파일명을 인용하여 사용자들이 해당 파일을 열람하도록 유도했습니다. 이번에 발견된 스피어피싱에 사용된 메일의 제목은 일본어로 'Fw:中東呼吸器症候群(MERS)の予防 (Fw: 메르스 예방)'이며, 첨부 파일명은 '中東呼吸器症候群(MERS)の予防.7z (메르스 예방.7z)'입니다.


해당 메일에는 CHM 파일을 포함한 압축파일이 첨부되어 있습니다. CHM 파일은 마이크로소프트의 온라인 헬프 파일 형식입니다. 이 파일에 의해 인기 정보 사이트로부터 메르스 관련 웹페이지가 표시되는 것입니다. 하지만, 실제로는 사용자 모르게 백도어가 설치됩니다. 'ZXSHELL'은 스피어피싱 공격에 자주 사용되는 백도어입니다.


이 백도어는 감염된 PC에 상주하며 공격자의 추가적인 명령어를 실행하기 위해 대기합니다. 또한, 침입한 네트워크 내의 개인정보를 검색하기 위해 사용될 가능성도 있습니다. 이 공격과 관련된 SHA1 해시값은 아래와 같습니다.


e6cc91c0358db79048fce805fae90f9023f789f7
855bb7e85353fb78c089ef44cc24ce832dd4feaf
3c5329b36ffd13b83679c848a4797f8eeffef521
7e9b6575c672be0ffba7f647ba59d979a2843e4d

최근 일본에서는 에볼라 바이러스, 네팔 대지진 및 필리핀 태풍피해 등 사람들이 관심을 가지고 있는 이슈를 사용한 공격이 꾸준히 발생하고 있습니다. 따라서 앞으로도 메르스 관련 뉴스를 악용한 공격이 추가적으로 발생할 가능성이 있으므로 사용자들의 주의가 더욱 필요합니다. 

  

해당 악성파일은 현재 알약에서Trojan.Downloader.FakeDoc, Trojan.Dropper.Vbs.eh, Trojan.Agent.35100 로 탐지하고 있습니다. 



참고:

http://blog.trendmicro.com/trendlabs-security-intelligence/mers-news-used-in-targeted-attack-against-japanese-media-company/



티스토리 방명록 작성
name password homepage