Home > 전체기사
[긴급] ‘송금증’ 메일 첨부파일 클릭하면 PC 제어권 뺏긴다
  |  입력 : 2019-06-20 19:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
TA505 그룹, 송금증 내용을 위장한 악성 피싱메일 대량 유포 중

[보안뉴스 원병철 기자] 국내 기업들을 대상으로 ‘송금증’이란 제목의 악성 이메일이 대량으로 유포되고 있어 사용자들의 주의가 요구된다. 이스트시큐리티 시큐리티대응센터(ESRC)는 20일 오전부터 국내 기업들에 ‘송금증’ 내용으로 위장한 악성 이메일이 유포되고 있다면서, 피싱 메일이 회계 관련 내용인 만큼 회계 관련 업무를 보시는 분들의 각별한 주의가 필요하다고 밝혔다.

[이미지=iclickart]


특히, ESRC에서는 이번 공격은 TA505 그룹이 주도한 것으로 파악된다고 밝혔다. TA505는 러시아어를 구사하는 것으로 보이는 해킹 그룹으로 최근 국내에 엑셀파일 첨부 이메일 공격을 자주하고 있다.

▲송금증 내용을 위장한 악성 피싱 메일[자료=ESRC]


20일 발견된 악성 피싱 메일은 중소기업을 사칭하며 ‘송금증 $(랜덤숫자)’란 제목으로 유포되고 있다. 메일 내용은 간단하게 “파일 보내 드립니다”라고 적혀 있다. 이날 발견된 메일에는 XLS, DOC 등 MS Office 문서를 악용한 악성 파일이 첨부되어 있으며, ‘날짜+송금증+랜덤값’의 파일명을 가지고 있다.

▲송금증 내용을 위장한 악성 피싱 파일[자료=ESRC]


또한, 이번에 발견된 문서 파일을 열어보면 매크로 실행을 유도한다. 하지만 막상 악성 엑셀 파일을 살펴보면 그림과 같이 러시아어 리스트라는 시트명을 확인하실 수 있다. 이번에 발견된 악성 Excel 파일 및 Word 파일은 UserForm에 C2 주소가 삽입되어 있으며, 여기서 악성 매크로를 불러온다.

▲UserForm에 삽입된 C2 주소(Excel)[자료=ESRC]


이번에 발견된 악성 파일 유포지인 C&C 주소는 아래와 같다.

hxxp://179.43.147[.]77/pm1
hxxp://179.43.147[.]77/pm2
hxxp://orderlynet[.]net/r5.exe
hxxp://179.43.147[.]77/p1
hxxp://179.43.147[.]77/p2
hxxp://54.38.127.28/pm3
hxxp://54.38.127.28/pm4


최종 페이로드 경로는 아래와 같으며, RAT(Remote Admin Tool) 기능을 메인으로 하는 ‘Ammyy RAT’을 통해 사용자 PC를 조작할 수 있다.

C:\ProgramData\NuGets\wsus.exe

ESRC는 출처가 불분명한 사용자에게서 온 메일인 경우 메일에 포함된 첨부파일을 다운로드하지 말 것을 조언하면서 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 달라고 당부했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)