Home > 전체기사
월요일을 여는 ‘소디노키비 랜섬웨어’ 공격 3종 세트
  |  입력 : 2019-05-27 17:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
성범죄, 헌법재판소 등 한국에 특화된 사회공학적 공격 펼쳐
‘소포 배송이 지연됩니다’라는 메일로 택배 업체 DHL 사칭하기도


[보안뉴스 원병철 기자] 한주의 시작인 월요일 오전, 회의 등으로 바쁜 직장인들을 노린 랜섬웨어 공격이 3건이나 발견돼 각별한 주의가 요구된다. 공격 메일은 내용은 서로 다르지만 같은 랜섬웨어인 ‘소디노키비(Sodinokibi)’를 전파하는 공격이었다.

▲강간사건의 피의자로 지목한 랜섬웨어 메일[이미지=보안뉴스]


먼저, 첫 번째는 피해자를 당황하게 만들어 첨부파일을 확인하도록 하는 일종의 사회공학적 공격으로, 최근 사회적 이슈가 되고 있는 ‘성범죄’와 관련된 공격이다. ‘강간 사건에 대한 경찰 소환’이란 제목으로 발송된 메일은 ‘미성년자 강간에 대한 피의자 증인이며, 심문을 위해 5월 31일까지 경찰서에 출두하라’는 내용이 담겨 있다.

특히, 지정된 기간에 출두하지 않을 경우 수배될 수 있고, 벌금도 569,175원이 부과된다고 하면서, 조사관 연락처 등 관련된 모든 정보는 첨부파일에 있다며 첨부파일을 확인하도록 유도했다.

문제는 실제로 첨부파일의 압축을 풀어보면, 별도의 실행파일 없이 바로가기 파일만 1개 보이는데, 이는 사용자가 실행파일을 꼼꼼히 살펴볼 것을 우려해 실행파일을 숨기고 바로가기 파일만 표출시켜 놓은 것으로 보인다.

▲헌법재판소를 사칭해 첨부파일 확인을 유도하는 메일[이미지=보안뉴스]


‘헌법재판소’를 사칭한 두 번째 메일은 ‘어떤 이유’인지는 알리지 않고 무조건 헌법재판소에 출두해야 하며, 참석하지 못하거나 변호사를 고용할 경우 첨부된 서류를 참조하라며 역시나 첨부파일 확인을 유도한다.

▲랜섬웨어가 첨부된 DHL 사칭 악성메일[이미지=보안뉴스]


마지막 세 번째 공격은 ‘소포 배송이 지연됩니다’란 이름으로 발송된 메일로 DHL Express Korea를 사칭했는데, 홈페이지에서나 볼 수 있는 DHL 관련 이미지까지 포함돼 있어 얼핏 보면 그럴 듯해 보인다. 이번 이메일은 잘못된 세관 신고로 인해 배송이 지연되고 있다며, 관련문서 및 연락처를 보려면 첨부파일을 확인할 것을 유도하고 있다. 첨부파일에는 ‘선적 서류.jpg’란 이름의 첨부파일이 담겨 있는데, 이번 첨부파일 역시 소디노키비 랜섬웨어로 확인됐다.

이번 3개의 공격이 모두 같은 공격조직에서 감행한 것인지, 아니면 우연찮게 각기 다른 공격조직이 소디노키비 랜섬웨어를 이용해 공격을 한 것인지는 알 수 없다. 하지만 3개의 공격 모두 한글 사용에 큰 무리가 없으며(꼼꼼하게 보면 작은 문제는 보인다), DHL 사칭의 경우 사진까지 사용해 한국 사용자를 노렸기 때문에 출처가 불분명한 사람이 보낸 이메일의 경우 첨부파일은 가급적 다운로드하거나 클릭하지 말고 삭제하는 것이 좋다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)