견적에서 법원판결문까지, 이런 이메일 주의하세요!

견적에서 법원판결문까지, 이런 이메일 주의하세요! AhnLab ASEC 분석팀 l 2020-07-08     엑셀, 한글, HTML, 압축파일 등 다양한 형태의 첨부파일에 악성코드를 포함한 이메일 공격이 무차별적으로 감행되고 있다.    안랩는 자사 ASEC 블로그를 통해 최근 기승 부리고 있는 다양한 형태의 악성코드 유포 방법과 예방법에 대해 소개하며, 이러한 공격의 피해를 입지 않도록 사용자의 각별한 주의를 당부했다. 다음은 7월 들어 기승을 부리고 있는 이메일을 악용한 악성코드 유포 사례를 소개한다.     1. 견적, 구매 메일로 위장해 유포되는 악성코드  폼북(Formbook) 악성코드는 2017년 처음 보고된 이후 현재까지도 꾸준히 유포되고 있는 정보 탈취 유형의 악성코드이다.   최근에는 주로 견적, 구매 관련 메일로 위장하여 유포되고 있다. 메일에는 압축된 첨부파일이 포함되어 있으며 압축파일 내부에는 악성코드 실행 파일이 존재한다. 단순한 방식으로 유포되지만 유포량은 전체 악성코드 샘플 중에서 큰 비중을 차지하기 때문에 주의가 필요하다   [그림 1] 견적서를 위장해 유포되는 악성 메일 사례   폼북 악성코드는 견적, 구매, 주문, 발주, 선적 등의 키워드로 주로 유포되며 사용자가 메일을 열고 첨부파일을 실행하면 악성코드에 감염된다.  ☞ 관련 ASEC 블로그 게시물 전문 바로가기   2. ‘북한의 회색지대 전략과 대응방안’ 한글 문서(HWP) 포함한 악성 메일 유포  ‘북한의 회색지대 전략과 대응방안’이란 이름의 악성코드가 담긴 한글 문서도 유포되고 있다. 이 한글 문서가 2019년 10월 21일에 작성됐으며, 2020년 6월 23일에 공격자에 의해 수정된 것으로 추정되고, 해당 문서를 저장한 사람은 Venus.H로 확인됐다.  한글 문서 파일을 열면 취약한 내부에 있는 악성 포스트스크립트(EPS)가 동작해 악성의 기능을 수행하게 된다. 해당 EPS는 CVE-2017-8291 취약점을 발생시켜 내부 코드를 실행하도록 한다.  [그림 2] 한글 파일을 통해 유포되는 악성코드 사례   이 악성코드는 최종적으로 메모리에서 동작하며 정보 유출 기능을 갖는다. 이처럼 악성 한글문서는 특정 조직을 타깃으로 공격을 수행하기 때문에 출처가 불분명한 메일 및 첨부파일은 열람하지 않도록 주의해야 한다.   ☞ 관련 ASEC 블로그 게시물 전문 바로가기   3. 공직메일(@korea.kr) 계정 탈취를 위한 피싱 메일 유포  공직자통합메일(korea.kr) 시스템 관리자를 사칭해 계정 정보 탈취를 시도하는 피싱 메일도 발견되었다. 메일의 발신자의 이름과 내용에 포함된 korea.kr은 국가 공직 메일 주소로 해당 메일 사용자를 대상으로 유포된 것으로 추정된다.   공격자는 의심을 피하기 위해 메일 발신자 이름을 ‘korea.kr’로 설정한 후 ‘[system Administrator]- Notice!’라는 제목으로 시스템 관리자를 사칭해 메일을 발송했다. 메일 본문에는 영어로 ‘해당 계정에 대한 접근이 곧 중단될 예정이다. 이를 취소하려면 아래 Cancel Now 버튼을 눌러라’는 내용을 적어 피싱 페이지로 연결되는 악성 URL 클릭을 유도했다. 사용자가 본문 내용에 속아 ‘Cancel Now’를 누르면 이메일 주소와 비밀번호를 입력을 유도하는 피싱 사이트로 이동된다.   [그림 3] 공직자통합메일 관리자를 사칭한 피싱 메일 유포 사례   사용자가 해당 피싱 사이트에 자신의 계정 정보를 입력하고 ‘Continue’ 버튼을 누르면 입력한 정보가 즉시 공격자에게 전송된다. 입력 후에는 정상 ‘대한민국 정책브리핑 (www.korea.kr) ’ 사이트로 연결되기 때문에 사용자는 계정 탈취를 의심하기 어렵다.   ☞ 관련 ASEC 블로그 게시물 전문 바로가기   4. 국내 포털 계정정보 탈취용 피싱 메일 유포 국내 포털 사이트를 위장한 피싱 파일(HTML)이 스팸 메일을 통해 국내에 유포되고 있는 것을 확인했다. 스팸 메일은 송장과 관련된 내용으로 첨부 파일 실행을 유도한다. 첨부된 파일은 압축 파일(zip) 형태이며, 압축 파일 내부에는 국내 포털 사이트를 위장한 HTML 파일이 존재한다. [그림 4] 국내 포털 사이트를 사칭한 피싱 메일에 포함된 악성코드 유포 사례   해당 HTML 파일 실행 시 특정 사이트로 리다이렉트(redirect)되며, 해당 사이트는 사용자의 계정 정보를 탈취하는 피싱 사이트이지만 정상 사이트와 매우 유사하여 사용자가 알아채기 힘들다.  ☞ 관련 ASEC 블로그 게시물 전문 바로가기   5. 법원 판결 내용의 악성 엑셀(XLS) 파일 유포 ‘방문판매법위반을 방조했으니 벌금을 내라’는 내용의 법원 판결을 사칭한 악성 문서로 유포되는 악성코드도 발견되었다.   이번에 발견된 악성문서는 엑셀(.xls) 형태로, 해당 악성문서를 열면 “내용을 보기 위해서는 위 노란색 막대의 ‘편집사용’ 버튼을 눌러라. 편집을 활성화한 이후에는 ‘콘텐츠 사용’ 버튼을 눌러라”는 안내가 나와 악성 매크로 사용을 유도한다. 이 문서는 주로 이메일로 전파되었을 것으로 추정된다.   [그림 5] 법원 판결 사칭한 엑셀 문서로 유포되는 악성코드   악성 매크로는 실행 후 C&C 서버(*)에 접속해 법원판결 내용을 담은 새로운 문서 파일(.xls)과 정보유출 악성코드를 동시에 다운로드 받는다. 다운로드 완료 후에는 새로 받은 문서파일이 자동으로 실행된다. 이 문서에는 피고인의 개인정보와 실존하는 변호사 정보와 함께 “‘방문판매등에관한법률위반방조’라는 죄명으로 벌금 1,500만원을 납부하라”는 법원 판결 내용이 이미지 형태로 포함되어 있다. 또, 매크로 실행을 유도하기 위해 문서 상단에 ‘콘텐츠 사용’ 버튼을 배치했다.  사용자가 의심없이 ‘콘텐츠 사용’ 버튼을 누를 경우, 함께 다운로드 되었던 정보 유출 악성코드가 실행된다. 실행된 악성코드는 사용자 PC내 ‘다운로드’ 폴더 파일 목록, ‘문서’ 폴더 파일 목록, IP 주소 등 PC정보를 탈취하며, 추가 악성코드를 내려받아 실행할 수도 있다.   ☞ 관련 ASEC 블로그 게시물 전문 바로가기   안랩은 V3와 MDS와 같은 자사 제품군에서 이들 악성코드를 진단 및 차단하고 있다. 피해를 줄이기 위해서는 ▲출처가 불분명한 메일의 첨부파일/URL 실행 금지 ▲출처 불분명한 문서 파일의 매크로(‘편집 사용’ 및 ‘콘텐츠 사용’ 등) 사용 시 주의 ▲OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 SW등 프로그램 최신 보안 패치 적용 ▲백신 최신버전 유지 및 실시간 감시 기능 실행 등 필수 보안 수칙을 실행해야 한다.