Home > 전체기사

법원 명령 위장한 메일 받았다면... 악성코드 감염 주의보!

  |  입력 : 2021-12-08 13:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
법원 명령 위장한 피싱메일을 통해 유포되는 Formbook 악성코드 주의보

[보안뉴스 원병철 기자] 최근 ‘법원 명령’이란 이름으로 유포되고 있는 피싱 메일이 발견돼 사용자들의 주의가 요구된다. 이스트시큐리티 ESRC(시큐리티대응센터)는 법원 명령을 위장한 피싱 메일이 유포되고 있으며, 첨부파일을 실행할 경우 악성행위를 시작한다고 밝혔다.

▲법원 명령을 위장한 피싱 메일[자료=ESRC]


이번에 발견된 악성 메일은 본문이 어색한 한글로 작성되어 있으며, 번역기를 돌려 유포한 것으로 추정돼 사용자가 조금만 주의를 기울이면 충분히 악성메일을 구분할 수 있다. 내용을 살펴보면 12월 9일 목요일 법원에 첨부되어 있는 파일을 제출해야 한다고 적혀 있다.

ESRC는 이메일이 너무 서툰 한국어로 작성되어 있지만, 보낸 사람의 이메일이 실제 모 법률 사무소의 이메일이라서 실제로 첨부파일을 실행하는 사람들이 있을 것으로 추정했다. 이메일에는 rar 파일이 첨부되어 있으며, 압축파일 내에는 .exe 파일이 포함되어 있다.

만일 사용자가 압축파일에 포함되어 있는 .exe 파일을 실행하면 %temp% 경로에 폴더를 생성하고 dll 파일을 드롭한다.

▲난독화된 파일에서 추출된 exe 파일[자료=ESRC]


드롭된 dll 파일은 난독화된 데이터를 생성하고, 연산을 통해 난독화된 데이터를 exe 파일 형태로 변환해 실행하는데, 최종적으로 실행되는 악성파일은 ‘Formbook’ 악성코드다. Formbook 악성코드가 실행되면 다음 프로세스 리스트 중 하나의 프로세스를 랜덤하게 골라 인젝션을 시도한다.

svchost.exe, msiexec.exe, wuauclt.exe, lsass.exe, wlanext.exe, msg.exe, lsm.exe, dwm.exe, help.exe, chkdsk.exe, cmmon32.exe, nbtstat.exe, spoolsv.exe, rdpclip.exe, control.exe, taskhost.exe, rundll32.exe, systray.exe, audiodg.exe, wininit.exe, services.exe, autochk.exe, autoconv.exe, autofmt.exe, cmstp.exe, colorcpl.exe, cscript.exe, explorer.exe, WWAHost.exe, ipconfig.exe, msdt.exe, mstsc.exe, NAPSTAT.exe, netsh.exe, NETSTAT.exe, raserver.exe, wscript.exe, wuapp.exe, cmd.exe

프로세스에 인젝션이 성공하면 악성행위를 시작하며, 명렁제어(C&C) 서버 리스트들에 접속을 시도해 연결되는 C&C 리스트가 있을 시, 접속된 C&C 서버로부터 실제 C&C 서버 주소를 받아 연결을 시도한다.

하지만 ESRC가 악성 메일을 분석할 시점에는 리스트에 있는 모든 C&C에 접속이 되지 않아 실제 C&C 서버 주소의 확인이 불가능했다는 설명이다. ESRC는 피싱 메일 발송에 악용된 이메일 소유자의 계정이 해킹 당한 것으로 보이며, 공격자는 해킹된 계정을 통하여 실제 법률사무소를 사칭한 피싱 메일을 유포하는 것으로 추정된다고 밝혔다. 아울러 기업의 보안담당자들에게는 계정관리에 주의를 기울일 것과 이중인증을 통해 계정보안을 강화할 것을 권고 했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화