이 시각 주요 뉴스

여백

악성코드 품은 문서파일, 매크로 실행 주의

문서 파일 매크로 기능 실행 시 해커가 PC제어권 획득 최형주 기자l승인2019.08.09 15:02:00l수정2019.08.09 15:14

크게

작게

메일

인쇄

신고

[CCTV뉴스=최형주 기자] 8월 9일 오전부터 국내 기업들을 대상으로 스캔 파일로 위장한 악성 이메일이 대량 유포중인 것으로 드러나, 첨부파일 실행 시 주의가 요구된다.

이스트시큐리티 시큐리티대응센터(ESRC)는 자사의 보안블로그를 통해 이번 악성 메일 유포가 해커조직 TA505에 의해 이뤄지고 있다며, 메일 본문에 전자서명을 넣어 메일 수신자의 의심을 덜도록 유도하고 있다고 밝혔다.

TA505는 정교한 한국어를 사용해 휴가철을 이용한 전자항공권 위장 악성 메일, 송금증 내용 위장 피싱 메일, 국세청 사칭 악성 메일 등 다양한 방식으로 기업들을 공격하고 있는 사이버 범죄 조직이다.

매크로 활성화를 유도하는 첨부파일(자료: 이스트시큐리티)

금일 발견된 메일은 특정 중소기업을 사칭해 ‘스캔파일’이라는 제목으로 발송된다. 메일에는 MS word로 작성된 doc 형식 파일이 첨부돼 있으며, 실행 시 ‘물품인수증’이라는 내용의 문서로 사용자가 워드 매크로 기능을 활성화하도록 유도한다.

매크로 기능을 활성화해 공격자가 숨겨둔 스크립트가 실행되면 Ammyy RAT 계열의 추가 악성코드가 C&C서버에서 암호화된 형태로 다운로드돼 설치됨과 동시에 윈도우 센터를 위장해 작업스케줄러에 등록된다.

이후엔 부팅 시마다 악성코드가 자동실행되고, 해커는 해당 PC를 원격으로 제어할 수 있게 돼 기업 내부 시스템에 치명적인 악성 공격을 실행할 수 있다.

ESRC는 “이번 악성 공격은 정황상 TA505 조직 수행 공격으로 보인다”며 “분석 중 독특한 부분을 확인했는데, 바로 지난해 발견된 갠드크랩(GandCrab) 랜섬웨어와 서명자 정보가 동일하다는 점”이라고 밝혔다.

현재 알약은 해당 악성파일을 'Backdoor.RAT.FlawedAmmyy, Trojan.Downloader.XLS.gen, Trojan.Downloader.DOC.gen'으로 탐지하고 있다.

#악성코드#랜섬웨어#악성메일#바이러스#중소기업#보안#취약점#취약#사칭#위장#사이버#위협#첨부파일#인프라#IT#동향#첨부문서#첨부

최형주 기자  hjchoi@cctvnews.co.kr
<저작권자 © CCTV뉴스, 무단 전재 및 재배포 금지>

최형주 기자의 다른기사 보기
여백
여백
여백
여백
매체소개공지사항보안자료실기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부    [기사ㆍ기고 문의 : desk@cctvnews.co.kr]
(주)테크월드 08507 서울특별시 금천구 가산디지털1로 168, 1012-1호 (가산동, 우림라이온스밸리 C동)  |  제호: 씨씨티브이뉴스  |  발행일: 2009년 2월 19일
대표전화 : 02)2026-5700  |  팩스 : 02)2026-5701  |  이메일 : webmaster@techworld.co.kr  |  청소년보호책임자 : 박지성
통신판매업신고번호 : 제 2008-서울금천-0415 호  |  발행·편집인 : 박한식  |  인터넷신문등록번호 : 서울, 아 00607  |  등록일 : 2008.06.27
Copyright © 2019 CCTV뉴스. All rights reserved .