하우리는 국내 대기업, 중소기업 임직원 이메일의 서명을 도용하거나 위장해 메일 하단에 첨부하고 악성코드와 함께 유포하는 공격 사례가 발견돼 사용자 주의가 필요하다고 19일 밝혔다.
악성코드 공격 이메일은 주로 주문서, 발주서, 견적서, 결제요청 등 문구를 포함한 제목 및 첨부파일을 달고 발송됐다. 본문은 한국어 또는 영문으로 작성된 관련 내용을 포함하고 있다. 하단에는 국내 기업 정보가 포함된 이메일 서명도 들었다.
이메일 서명은 본문 하단에 발신자 소속, 연락처 등을 텍스트와 이미지로 추가하는 형태가 많다. 하우리의 분석에 따르면 공격자는 이런 국내 기업의 이메일 서명 내용과 형식을 도용 및 위장해 이메일 수신자에게 신뢰감을 주려고 한 것으로 파악됐다.
하우리 측 설명에 따르면 공격자는 국내 포털 이메일 서비스로 이메일을 보내기도 했다. 자신이 사칭하려는 송수신자 이메일 주소를 인터넷 검색엔진으로 수집한 것으로 추정됐다. 정부 사이트에서 추출된 이메일도 발견되고 있다.
관련기사
- 하우리, 국방부 내부망 백신 구축 완료2018.04.19
- "한국어 지원 추가된 사탄 랜섬웨어 새버전 유포"2018.04.19
- 하우리 "파워셸 ‘엠파이어’를 이용한 APT공격 증가"2018.04.19
- 탐지 어려운 'MSI' 확장자 형식 악성코드 유포 급증2018.04.19
공격 이메일은 문서로 위장한 악성코드 실행파일을 포함하고 있다. 이를 열면 악성코드가 실행된다. 악성코드는 PC에 저장된 웹브라우저와 FTP 등 원격접속프로그램의 계정정보를 수집한다. 서버주소, 아이디, 패스워드 등을 수집해 원격서버에 보낸다. 공격자는 이렇게 수집된 정보를 2차공격에 활용할 것으로 추정된다.
하우리 최상명 CERT 실장은 "공격자는 국내 기업들에 대한 정보를 수집하여 공격에 활용하고 있으며 최근 관련 공격이 크게 증가하고 있다"면서 "발신인에게 이메일 전송 여부를 확인한 후 이메일을 열람해야 한다"고 조언했다.
