기업을 위한 IT 전문 파트너
  • 새소식
안랩, 직장인 노린 악성코드, 모습 바꿔가며 잇따라 유포 중
  • 제조사
  • 게시일 : 2019-10-25
  • 조회수 : 100
  • SNS공유 페이스북 트위터
최근 국내 기업의 임직원을 노린 악성코드가 잇따라 발견되고 있다. 업무나 급여 등 다양한 내용으로 임직원의 관심을 끄는 것은 물론, 악성 파일을 다운로드하는 방식에도 계속 변화를 주고 있어 각별한 주의가 요구된다.



기업 임직원을 타깃으로 하는 악성코드가 새삼스러운 것은 아니지만, 지난 10월 중순부터 연달아 유포되고 있다는 점은 관심 가질 필요가 있다. 안랩 시큐리티대응센터(AhnLab Security Emergency response Center, 이하 ASEC)가 블로그를 통해 공개한 지난 10월 중순의 사례들의 공통점과 변화를 요약했다.


직장인이라면 익숙한 용어와 파일

우선, 최근 사례는 모두 스팸 이메일을 이용하고 있는데, 이메일 제목이나 첨부 파일의 내용을 급여명세서, 견적서, 송장(invoice) 등으로 업무 관련 내용으로 위장하고 있다. 또 첨부 파일은 업무 상 자주 사용하는 엑셀 파일인 경우가 대부분이다.

특히, 지난 10월 17일부터 국내 기업을 타깃으로 ‘10월 급여명세서’, ‘○○ 견적서’, ‘송장’ 등의 제목으로 위장한 스팸 메일이 대량 유포됐다.

 



[그림 1] 지난 10월 유포된 스팸 메일



[그림 1]은 지난 10월 셋째 주에 실제 유포된 스팸 메일로, 첨부된 엑셀 파일을 실행하면 [그림 2]와 같이 매크로 사용을 유도하는 알림창이 나타난다.
 


​[그림 2] 매크로 사용을 유도하는 악성 엑셀 파일
 


사용자가 매크로 기능을 활성화하면 악성 DLL 파일이 PC에 드롭(drop)되어 악의적인 기능을 수행한다. 주로 운영체제 등 컴퓨터 정보, 사용자 정보 등을 수집하여 공격자의 서버로 전송한다. 공격자는 이를 이용해 또 다른 악성코드를 추가로 다운로드할 수도 있다.


악성 파일을 다운로드하는 방식의 변화..첨부 파일만 주의해선 안돼

그런데, 지난 10월 22일 국내 기업을 대상으로 유포된 스팸 메일에서 미묘한 변화가 포착됐다. 직장인이라면 관심 가질 수 밖에 없는 내용의 이메일이나 엑셀 파일의 매크로 기능 사용을 유도하는 것은 동일하지만 [그림 3]과 같이 첨부 파일이 아닌 드롭박스(Dropbox)로 위장한 링크를 통해 악성 파일의 다운로드를 시도했다.



[그림 3] 드롭박스로 위장한 링크를 첨부한 스팸 메일





드롭박스(Dropbox)는 일종의 웹 하드 서비스로, 많은 기업에서 용량이 큰 파일을 사내•외로 주고받을 때 사용하고 있다. 공격자는 이 점을 노려 많은 직장인들에게 익숙한 드롭박스의 로고와 함께 악성 링크를 이메일 본문에 첨부한 것. 이 악성 링크를 통해 다운로드된 파일은 [그림 2]에서 살펴본 악성 엑셀 파일로, 매크로 기능 활성화를 유도한 후 악성 DLL 파일을 드롭하여 실행한다.


V3 제품은 최근 국내 기업 사용자를 대상으로 유포된 악성 파일을 다음과 같은 진단명으로 탐지하고 있다.

<V3 제품군 진단명>

- VBA/Loader.S1 (2019.10.18.04)

- Trojan/Win32.Reflect.R295021 (2019.10.18.03)

- Trojan/Win64.Reflect.R295103 (2019.10.18.07)

- VBA/Loader (2019.10.22.03)

- BinImage/Encpe (2019.10.22.04)

- VBA/Loader.S3 (2019.10.22.04)

- Trojan/Win32.Reflect.C3525295 (2019.10.22.04)

- Trojan/Win64.Reflect.R295367 (2019.10.22.04)


잇따라 발생한 사례에서 알 수 있는 것처럼 공격자들이 국내 기업 환경과 직장인들의 패턴 등을 파악하여 교묘하게 활용하고 있다. 따라서 업무와 관련된 제목이나 업무상 관련 있는 사람 또는 업체에서 온 메일일 경우에도 첨부 파일이나 링크를 클릭하기 전에 각별히 주의해야 한다. 또 워드나 엑셀 파일의 ‘매크로’ 기능은 가급적 사용(활성화)하지 않는 것이 좋겠다. 이와 함께 V3 제품의 엔진을 항상 최진 버전으로 유지하고 실시간 감시 기능을 켜둬야 한다.

 

[출처 : 안랩(((www.ahnlab.com)]

인터파크 큐브릿지 IT영업부
자세히보기
  • Office 365
  • CCT
TOP