‘10월 급여명세서’ 사칭한 악성 이메일 ‘주의’…“발신자 등 확인해야”
뉴시스
입력 2019-10-18 14:20 수정 2019-10-18 14:23
이스트시큐리티 시큐리티대응센터(ESRC) 적발
"러시아 지역 기반의 공격 조직 'TA505' 추정"
"기업 종사자는 물론 기업 내부자산 유출 우려"
통합보안기업 이스트시큐리티는 18일 오전부터 급여명세서를 사칭한 악성 이메일이 국내 기업 종사자를 대상으로 대량 유포되고 있어 주의가 필요하다고 밝혔다.
이번 공격은 악성 파일을 첨부한 이메일을 특정 대상에게 발송하는 해킹 이메일 공격 방식을 사용하고 있다. 국내 기업이 급여를 지급하는 20일, 25일에 맞춰 ‘10월 급여명세서’ 안내를 위장한 메일과 악성 파일을 배포하고 있는 것으로 확인됐다.
첨부된 엑셀(EXCEL) 문서를 열람하면 정상적인 문서 확인을 위해 엑셀 프로그램 화면 상단에 노출된 보안경고 창의 ‘콘텐츠 사용’ 버튼을 클릭하도록 유도하는 안내가 노출된다.
만약 버튼을 클릭하면 해커가 사전에 설정해둔 매크로 언어인 VBA(Visual Basic for application)가 실행되고, 악성 DLL 파일을 사용자 PC에 자동으로 내려받는다.
DLL 파일은 감염된 PC의 컴퓨터 이름, 사용자 이름, 운영체제(OS), 실행 중인 프로세스 목록 등 다양한 시스템 정보를 해커에게 전송하는 악성 행위와 해커에 명령에 따라 추가적인 악성 파일을 내려받는 다운로더 기능을 수행한다.
이스트시큐리티 시큐리티대응센터(ESRC)는 “악성 파일을 신속히 분석한 결과 공격 기법, 코드 유사도 등 여러 측면에서 ‘TA505’ 조직의 소행으로 추정하고 있다”고 밝혔다.
TA505는 러시아 지역 기반의 공격 조직으로 알려졌다. 올해 상반기 불특정 한국 기업의 중앙 전산 자원 관리(AD) 서버를 대상으로 한 클롭(Clop) 랜섬웨어를 지속적으로 유포했다. 지난 7월에는 여름 휴가철을 노리고 특정 국내 항공사 ‘전자 항공권(e-티켓)을 위장한 악성 이메일을 유포했다.
문종현 ESRC 이사는 “TA505 조직의 공격에 감염되면 기업 종사자 개인의 정보는 물론 중요한 기업 내부 자산 유출도 우려되는 만큼 유창한 한글로 된 이메일을 수신하더라고 첨부파일을 열람하기 전 발신자를 확인하는 등 악성 이메일 여부를 의심해야 한다”고 당부했다.
현재 이스트시큐리티는 한국인터넷진흥원(KISA)와 긴밀한 공조 체계를 유지하며, 피해 확산을 방지하기 위한 긴급 대응을 진행하고 있다.
【서울=뉴시스】
"러시아 지역 기반의 공격 조직 'TA505' 추정"
"기업 종사자는 물론 기업 내부자산 유출 우려"
통합보안기업 이스트시큐리티는 18일 오전부터 급여명세서를 사칭한 악성 이메일이 국내 기업 종사자를 대상으로 대량 유포되고 있어 주의가 필요하다고 밝혔다.
이번 공격은 악성 파일을 첨부한 이메일을 특정 대상에게 발송하는 해킹 이메일 공격 방식을 사용하고 있다. 국내 기업이 급여를 지급하는 20일, 25일에 맞춰 ‘10월 급여명세서’ 안내를 위장한 메일과 악성 파일을 배포하고 있는 것으로 확인됐다.
첨부된 엑셀(EXCEL) 문서를 열람하면 정상적인 문서 확인을 위해 엑셀 프로그램 화면 상단에 노출된 보안경고 창의 ‘콘텐츠 사용’ 버튼을 클릭하도록 유도하는 안내가 노출된다.
만약 버튼을 클릭하면 해커가 사전에 설정해둔 매크로 언어인 VBA(Visual Basic for application)가 실행되고, 악성 DLL 파일을 사용자 PC에 자동으로 내려받는다.
DLL 파일은 감염된 PC의 컴퓨터 이름, 사용자 이름, 운영체제(OS), 실행 중인 프로세스 목록 등 다양한 시스템 정보를 해커에게 전송하는 악성 행위와 해커에 명령에 따라 추가적인 악성 파일을 내려받는 다운로더 기능을 수행한다.
이스트시큐리티 시큐리티대응센터(ESRC)는 “악성 파일을 신속히 분석한 결과 공격 기법, 코드 유사도 등 여러 측면에서 ‘TA505’ 조직의 소행으로 추정하고 있다”고 밝혔다.
TA505는 러시아 지역 기반의 공격 조직으로 알려졌다. 올해 상반기 불특정 한국 기업의 중앙 전산 자원 관리(AD) 서버를 대상으로 한 클롭(Clop) 랜섬웨어를 지속적으로 유포했다. 지난 7월에는 여름 휴가철을 노리고 특정 국내 항공사 ‘전자 항공권(e-티켓)을 위장한 악성 이메일을 유포했다.
문종현 ESRC 이사는 “TA505 조직의 공격에 감염되면 기업 종사자 개인의 정보는 물론 중요한 기업 내부 자산 유출도 우려되는 만큼 유창한 한글로 된 이메일을 수신하더라고 첨부파일을 열람하기 전 발신자를 확인하는 등 악성 이메일 여부를 의심해야 한다”고 당부했다.
현재 이스트시큐리티는 한국인터넷진흥원(KISA)와 긴밀한 공조 체계를 유지하며, 피해 확산을 방지하기 위한 긴급 대응을 진행하고 있다.
【서울=뉴시스】
비즈N 탑기사
- 백일 아기 비행기 좌석 테이블에 재워…“꿀팁” vs “위험”
- 최저임금 2만원 넘자 나타난 현상…‘원격 알바’ 등장
- “배우자에게 돈 보냈어요” 중고거래로 명품백 먹튀한 40대 벌금형
- 이렇게 63억 건물주 됐나…김지원, 명품 아닌 ‘꾀죄죄한’ 에코백 들어
- 상하이 100년간 3m 침식, 中도시 절반이 가라앉고 있다
- 김지훈, 할리우드 진출한다…아마존 ‘버터플라이’ 주연 합류
- “도박자금 마련하려고”…시험장 화장실서 답안 건넨 전직 토익 강사
- 몸 속에 거즈 5개월 방치…괄약근 수술 의사 입건
- 일본 여행시 섭취 주의…이 제품 먹고 26명 입원
- “1인 안 받는 이유 있었네”…식탁 위 2만원 놓고 간 손님 ‘훈훈’
- 한국에 8800억 투자 獨머크 “시장 주도 기업들 많아 매력적”
- 직장인 1000만명 이달 월급 확 준다…건보료 ‘20만원 폭탄’
- 1인 가구 공공임대 ‘면적 축소’ 논란…국토부 “면적 기준 폐지 등 전면 재검토”
- “만원으로 밥 먹기 어렵다”…평균 점심값 1만원 첫 돌파
- 고금리-경기침체에… 개인회생 두달새 2만2167건 역대 최다
- 美-중동 석유공룡도 뛰어든 플라스틱… 역대급 공급과잉 우려[딥다이브]
- 카드사 고위험업무 5년 초과 근무 못한다…여전업권 ‘내부통제 모범규준’ 시행
- 작년 서울 주택 인허가, 목표치 33% 그쳐… 2, 3년뒤 공급난 우려
- 은행연체율 4년9개월만에 최고… 새마을금고 ‘비상등’
- 작년 4대그룹 영업이익 24.5조, 66% 감소…현대차그룹만 늘어