¹èÆ÷ ¹æ½Ä°ú ¸í·É¾î Àü´Þ ¹æ½Ä¿¡ ¾à°£ÀÇ º¯È...º»ÁúÀº °°¾Æ
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¿¡ÀÌÀüÆ® Å×½½¶ó(Agent Tesla)¶ó´Â ½ºÆÄÀÌ¿þ¾îÀÇ »õ·Î¿î ¹öÀüÀÌ ¹ß°ßµÆ´Ù. ÀÌ º¯Á¾Àº ¾Ç¼º MS ¿öµå ¹®°ÇÀ» ÅëÇØ ÆÛÁö°í ÀÖ´Ù°í ÇÑ´Ù. º¸¾È ¾÷ü Æ÷Ƽ³Ý(Fortinet)ÀÌ ¹ß°ßÇß´Ù.
[À̹ÌÁö = iclickart]
¿¡ÀÌÀüÆ® Å×½½¶ó°¡ óÀ½ ¼¼»ó¿¡ °ø°³µÈ °ÍÀº Áö³ 6¿ùÀÇ ÀÏÀÌ´Ù. ´ç½Ãµµ MS ¿öµå ¹®¼ÀÇ ÇüÅ·ΠÆÛÁö°í ÀÖ¾ú´Âµ¥, ÇØ´ç ¹®¼µé¿¡´Â ÀÚµ¿½ÇÇà VBA ¸ÅÅ©·Î°¡ Æ÷ÇԵǾî ÀÖ¾ú´Ù. ÇÇÇØÀÚ°¡ ÀÌ ¹®¼¸¦ ´Ù¿î·Îµå ¹Þ¾Æ ¿¸é ¡®enable content¡¯¶ó´Â Æ˾÷ÀÌ ¶á´Ù. »ç¿ëÀÚ°¡ È®ÀÎÀ» ´©¸£¸é ¿¡ÀÌÀüÆ® Å×½½¶ó°¡ »ç¿ëÀÚ ¸ô·¡ ¼³Ä¡µÇ±â ½ÃÀÛÇÑ´Ù.
±×·¯³ª À̹ø¿¡ ¹ß°ßµÈ ¿¡ÀÌÀüÆ® Å×½½¶ó°¡ ´ã±ä ¾Ç¼º ¹®°ÇµéÀº enable content¸¦ »ç¿ëÀÚ¿¡°Ô ¿äûÇÏÁö ¾Ê´Â´Ù. ´ë½Å ÆĶõ»ö ¾ÆÀÌÄÜÀ» ´õºíŬ¸¯Çؼ clear view ±â´ÉÀ» È°¼ºÈÇ϶ó°í ¿ä±¸ÇÑ´Ù. »ç¿ëÀÚ°¡ ÀÌ¿¡ ÀÀÇÏ¸é ¿¥º£µå µÈ °´Ã¼·ÎºÎÅÍ POM.exe ÆÄÀÏÀÌ ÃßÃâµÇ°í, ½Ã½ºÅÛ ³» Àӽà Æú´õ¿¡ ÀúÀåµÈ ÈÄ ½ÇÇàµÈ´Ù.
POM.exe´Â ºñÁÖ¾ó º£ÀÌÁ÷À¸·Î ÀÛ¼ºµÈ ½ÇÇàÆÄÀÏ·Î, ÀÏÁ¾ÀÇ ¼³Ä¡ÆÄÀÏ ±â´ÉÀ» ´ã´çÇÑ´Ù°í Æ÷Ƽ³ÝÀº ºÐ¼®ÇÑ´Ù. ¡°POM.exe¸¦ ÅëÇØ ÃÖÁ¾ ÆäÀ̷ε尡 ´Ù¿î·Îµå µÇ°í °á±¹ ¿¡ÀÌÀüÆ® Å×½½¶ó°¡ ¼³Ä¡µË´Ï´Ù.¡±
¿¡ÀÌÀüÆ® Å×½½¶ó´Â ½ºÆÄÀÌ¿þ¾î·Î Å°½ºÆ®·ÎÅ©, ½Ã½ºÅÛ Å¬¸³º¸µå, ½ºÅ©¸°¼¦À» ¼öÁýÇÏ°í, ¼³Ä¡µÈ ´Ù¾çÇÑ ¾ÖÇø®ÄÉÀ̼ǵé·ÎºÎÅÍ Å©¸®µ§¼Èµµ ¸ðÀº´Ù. ¿©·¯ °³ÀÇ ¾²·¹µåµéÀ» ¸¸µé¾î ¾Ç¼º ÇàÀ§µéÀ» ½Ç½ÃÇϸç, ÀÌ ¶§ main ÇÔ¼ö¿¡ ŸÀÌ¸Ó ±â´Éµéµµ ½É¾îµÐ´Ù.
º¯Á¾À̶ó°í´Â ÇÏÁö¸¸ º»ÁúÀûÀÎ ±â´É ÀÚü´Â ÀÌÀü ¹öÀü°ú ´Ù¸£Áö ¾Ê´Ù°í Æ÷Ƽ³ÝÀº ¼³¸íÇÑ´Ù. ¡°´Ù¸¸ SMTPS¸¦ »ç¿ëÇØ ¼öÁýÇÑ Á¤º¸¸¦ °ø°ÝÀÚÀÇ À̸ÞÀÏ ÆíÁöÇÔÀ¸·Î Àü¼ÛÇÑ´Ù´Â °ÍÀº ´Ù¸¥ Á¡ÀÔ´Ï´Ù. ÀÌÀü ¹öÀüÀº HTTP POST Çü½ÄÀÇ ¿äû¹®À» ÅëÇØ Á¤º¸¸¦ Àü¼ÛÇ߰ŵç¿ä.¡±
Æ÷Ƽ³ÝÀÇ ºÐ¼®°¡µéÀº ¡°°ø°ÝÀÚµéÀÎ Àü¼ÛÇÏ´Â SMTP ¸Þ¼Òµå¿¡´Â Password Recovered, Screen Capture, Ketstrokes µîÀÌ ÀÖ´Ù¡±¸ç ¡°¸í·ÉÀº À̸ÞÀÏÀÇ Subject Çʵ忡 ÁÖ·Î Æ÷ÁøµÇ¾î ÀÖ´Ù¡±°í ¼³¸íÇÑ´Ù.
°ø°ÝÀÚµéÀº ¹«·á Á¶È£(Zoho) À̸ÞÀÏ °èÁ¤À» À̹ø °ø°Ý¿¡ È°¿ëÇÏ°í ÀÖ´Ù. Æ÷Ƽ³ÝÀº Á¶È£ Ãø¿¡ ÀÌ·¯ÇÑ »ç½ÇÀ» ¹àÇô ¼ºñ½º°¡ ¾Ç¿ëµÇ°í ÀÖÀ½À» ¾Ë·È´Ù°í ÇÑ´Ù. ÇÏÁö¸¸ ¾ÆÁ÷ Á¶È£ ÃøÀÇ ÀÀ´äÀº ¾ø¾ú´Ù°í ÇÑ´Ù.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>