이스트시큐리티(대표 정상원)는 최근 국내 기업 인사 담당자를 대상으로 구직자의 입사지원서로 위장한 악성 이메일이 급속도로 유포돼, 랜섬웨어 감염피해가 속출하고 있다고 14일 밝혔다.이스트시큐리티는 이스트소프트 보안 자회사다.
이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면 이번 랜섬웨어는 지난 2016년부터 한국의 특정 기관, 기업, 고유 커뮤니티에 속한 개인을 대상으로 지속해서 랜섬웨어를 유포했던 조직의 소행으로 추정된다.
ESRC는 분석 결과, 이 공격 조직은 최초에는 비너스락커 랜섬웨어를 유포했고, 올해 3월 ‘갠드크랩 v2.0’을 유포에 이어, 현재 ‘갠드크랩 v3.0’ 랜섬웨어를 이메일 첨부파일 형태로 유포하고 있는 것으로 확인했다.
특히 이번 공격은 기존 공격 방식과 달랐다. 기존에는 주로 이중 확장자를 사용해 문서나 사진 파일 등으로 위장한 링크 파일을 이메일에 직접 첨부해 유포했다. 이번 공격은 기존과 달리, 악성 URL 링크를 첨부하고 악성 압축파일을 내려받도록 유도했다.
또, 내려받은 악성 파일에는 이중 확장자를 사용한 위장 파일 대신 자바스크립트(*.js)파일이 포함돼 있다. 이 파일을 실행하면 랜섬웨어가 사용자 컴퓨터에 자동으로 설치된다.
현재 해당 악성 이메일은 국내 유명 취업 전문 사이트에 기재된 기업 인사 담당자의 이메일 주소로 급속도로 유포되고 있다.
메일은 기업 인사 담당자가 의심을 하지 않도록 구직자가 입사 지원서를 제출하는 내용이 한국어로 작성돼 있다. 링크 형태로 포함된 이력서를 클릭해 열람하도록 유도한다.
인사 담당자가 이력서 링크를 클릭하게 되면, 발신자 이메일 아이디와 같은 이름의 압축 파일이 다운로드 된다. 이 압축 파일 내부에는 이력서를 의미하는 영문 표기인 ‘resume.js’파일이 포함돼 있다. 인사담당자가 이 파일을 실행하는 즉시 ‘갠드크랩’ 랜섬웨어에 감염돼 문서, 사진 등 사용자 컴퓨터에 저장된 각종 파일이 암호화된다.
관련기사
- 이스트시큐리티 "랜섬웨어 유포 다시 늘어"2018.05.14
- 한국 집중 공격한 랜섬웨어 복호화 툴 등장2018.05.14
- KISA, 랜섬웨어 예방 가이드라인 배포2018.05.14
- 진화하는 랜섬웨어 공격 방어-대응전략 한자리에2018.05.14
ESRC 문종현 이사는 “랜섬웨어 공격은 다양한 형태로 발전하고 있으며, 공격 효과를 높이기 위해 특정 대상을 공격하는 타겟팅 공격이 증가하고 있다”며 “조직에 속한 임직원의 보안 의식 수준을 높이고, 조직 차원에서 보안을 강화하려는 노력이 절실히 필요하다”고 당부했다.
이스트시큐리티는 현재 한국인터넷진흥원(KISA)과 협력해 자바스크립트 파일이 동작하는 해당 서버의 국내 접속 차단 조치를 진행 중이며, 추가 공격에 대한 모니터링도 강화하고 있다고 밝혔다.
