법원 명령 위장한 메일 받았다면... 악성코드 감염 주의보!

법원 명령 위장한 피싱메일을 통해 유포되는 Formbook 악성코드 주의보

[보안뉴스 원병철 기자] 최근 ‘법원 명령’이란 이름으로 유포되고 있는 피싱 메일이 발견돼 사용자들의 주의가 요구된다. 이스트시큐리티 ESRC(시큐리티대응센터)는 법원 명령을 위장한 피싱 메일이 유포되고 있으며, 첨부파일을 실행할 경우 악성행위를 시작한다고 밝혔다.

▲법원 명령을 위장한 피싱 메일[자료=ESRC]

이번에 발견된 악성 메일은 본문이 어색한 한글로 작성되어 있으며, 번역기를 돌려 유포한 것으로 추정돼 사용자가 조금만 주의를 기울이면 충분히 악성메일을 구분할 수 있다. 내용을 살펴보면 12월 9일 목요일 법원에 첨부되어 있는 파일을 제출해야 한다고 적혀 있다.

ESRC는 이메일이 너무 서툰 한국어로 작성되어 있지만, 보낸 사람의 이메일이 실제 모 법률 사무소의 이메일이라서 실제로 첨부파일을 실행하는 사람들이 있을 것으로 추정했다. 이메일에는 rar 파일이 첨부되어 있으며, 압축파일 내에는 .exe 파일이 포함되어 있다.

만일 사용자가 압축파일에 포함되어 있는 .exe 파일을 실행하면 %temp% 경로에 폴더를 생성하고 dll 파일을 드롭한다.

▲난독화된 파일에서 추출된 exe 파일[자료=ESRC]

드롭된 dll 파일은 난독화된 데이터를 생성하고, 연산을 통해 난독화된 데이터를 exe 파일 형태로 변환해 실행하는데, 최종적으로 실행되는 악성파일은 ‘Formbook’ 악성코드다. Formbook 악성코드가 실행되면 다음 프로세스 리스트 중 하나의 프로세스를 랜덤하게 골라 인젝션을 시도한다.

svchost.exe, msiexec.exe, wuauclt.exe, lsass.exe, wlanext.exe, msg.exe, lsm.exe, dwm.exe, help.exe, chkdsk.exe, cmmon32.exe, nbtstat.exe, spoolsv.exe, rdpclip.exe, control.exe, taskhost.exe, rundll32.exe, systray.exe, audiodg.exe, wininit.exe, services.exe, autochk.exe, autoconv.exe, autofmt.exe, cmstp.exe, colorcpl.exe, cscript.exe, explorer.exe, WWAHost.exe, ipconfig.exe, msdt.exe, mstsc.exe, NAPSTAT.exe, netsh.exe, NETSTAT.exe, raserver.exe, wscript.exe, wuapp.exe, cmd.exe

프로세스에 인젝션이 성공하면 악성행위를 시작하며, 명렁제어(C&C) 서버 리스트들에 접속을 시도해 연결되는 C&C 리스트가 있을 시, 접속된 C&C 서버로부터 실제 C&C 서버 주소를 받아 연결을 시도한다.

하지만 ESRC가 악성 메일을 분석할 시점에는 리스트에 있는 모든 C&C에 접속이 되지 않아 실제 C&C 서버 주소의 확인이 불가능했다는 설명이다. ESRC는 피싱 메일 발송에 악용된 이메일 소유자의 계정이 해킹 당한 것으로 보이며, 공격자는 해킹된 계정을 통하여 실제 법률사무소를 사칭한 피싱 메일을 유포하는 것으로 추정된다고 밝혔다. 아울러 기업의 보안담당자들에게는 계정관리에 주의를 기울일 것과 이중인증을 통해 계정보안을 강화할 것을 권고 했다.
[원병철 기자(boanone@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)