상세 컨텐츠

본문 제목

‘방역 수칙 위반 경찰서 출석요구서’ 등 불안심리 악용한 해킹 공격 주의!

악성코드 분석 리포트

by 알약4 2022. 4. 7. 13:27

본문

 

안녕하세요. ESRC(시큐리티 대응센터)입니다.

 

3월 25일부터 지금까지 '코로나 19 방역수칙 위반 피의사건 수사관련 출석통지서’, ’긴급재난지원금 신청서 양식’ 등 사용자들의 관심과 불안을 야기하는 이름의 악성 워드(DOC) 문서 파일을 첨부한 해킹 메일이 국내에 대량 유포되고 있어 사용자들의 각별한 주의가 필요합니다. 

 

 

[그림 1] 지금까지 발견된 악성 파일 타임라인

 

 

지금까지 다양한 파일명의 악성 파일들이 발견되었으며, 지금도 새로운 파일명의 악성 파일들이 지속적으로 발견되고 있습니다. 

 

이번 공격은 불특정다수를 대상으로 진행되고 있으며, 분석 결과 ESRC가 지난 3월 25일 공개한 ‘한국인터넷정보센터(KRNIC)를 사칭한 공격’의 연장선으로 파악되었습니다. 

 

한국인터넷정보센터(KRNIC)를 사칭한 정보수집 악성 이메일 주의!! (변종 내용 추가)

 

이번 공격은 악성 워드 파일이 첨부되어 있는 피싱 메일을 통해 진행중이며, 공격자는 수신자로 하여금 [콘텐츠 사용] 버튼을 눌러 악성 매크로의 활성화를 유도합니다. 만일 사용자가 [콘텐츠 사용] 버튼을 누르면, 실제 문서 화면을 보여주어 공격에 노출된 것을 인지하지 못하도록 합니다. 

 

 

[그림 2] 사용자로 하여금 콘텐츠 사용 버튼의 클릭을 유도하는 화면

 

[그림 3] 정상 문서를 위장한 악성 파일

 

 

매크로 기능이 활성화 되면, 공격자가 지정한 명령 제어(C2) 서버와 통신이 이뤄지고 사용자 몰래 추가 악성 파일을 설치하며, 사용자 이름, 사용중인 백신 프로그램 종류, 운영체제 종류, 시스템 버전 정보 등을 수집하여 공격자 서버로 전송합니다. 

 

이렇게 유출된 정보들은 향후 후속 공격에 필요한 제반 환경을 제공해 주는 만큼, 사용자들의 각별한 주의가 필요합니다. 사용자 여러분들은 워드나 엑셀 문서 등의 [콘텐츠 사용] 버튼을 클릭하지 않아야 합니다. 

현재 알약에서는 해당 악성코드들을 Trojan.Downloader.DOC.Gen, Trojan.Agent.101376A, Trojan.Agent.107520B, Trojan.Downloader.Agent
등으로 탐지 중이며, 추가적인 변종에 대해서도 지속적으로 대응 중입니다.

한편, 이스트시큐리티는 이와 관련된 사이버 위협 정보를 한국인터넷진흥원(KISA) 등 관계 당국과 긴밀히 공유해 기존에 알려진 위협이 확산되지 않도록 협력을 유지하고 있습니다.

 

 

관련글 더보기

댓글 영역