급여명세서 열었더니 악성코드 감염?
상태바
급여명세서 열었더니 악성코드 감염?
  • 최형주 기자
  • 승인 2019.10.18 14:46
  • 댓글 0
이 기사를 공유합니다

TA505 해커조직, 급여 시기 맞춰 급여명세서 위장한 악성코드 배포

[CCTV뉴스=최형주 기자] 급여명세서를 사칭한 악성 이메일이 18일 오전부터 국내 기업을 대상으로 대량 유포되고 있어 유사 메일 수신 시 주의가 필요하다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)는 18일 오전 관련 악성파일을 입수해 분석한 결과, 이번 공격이 기업 전산자원관리(AD) 서버를 대상으로 클롭(Clop) 랜섬웨어를 유포하던 TA505 조직의 소행이라고 밝혔다.

TA505는 러시아 기반 공격 조직으로 알려져 있다. 이들은 지난 7월에도 여름 휴가철을 노려 국내 항공사 위장한 악성 이메일을 유포하는 등 다양한 방식으로 한국을 공격하고 있다.

공격은 많은 국내 기업들이 급여를 지급하는 20일과 25일에 맞춰 ‘10월 급여명세서’를 위장, 악성파일이 담긴 이메일을 유포하는 방식이다.

이메일에 첨부된 엑셀(EXCEL) 문서를 열람하면 보안경고 창을 통해 ‘콘텐츠 사용’ 버튼을 클릭하도록 유도한다. 버튼을 클릭하면 해커가 엑셀 파일에 숨겨놓은 악성코드가 실행되고, 악성 DLL 파일을 사용자 PC에 자동으로 설치한다.

ESRC 관계자는 “유창한 한글로 된 이메일을 수신하더라도 첨부파일을 열기 전 발신자를 확인하는 등 악성 이메일 여부를 의심해야 한다”며 “이번 공격에 대해 이스트시큐리티는 한국인터넷진흥원(KISA)과 긴밀한 공조 체계를 유지, 피해확산 방지를 위한 긴급 대응을 실시하고 있다”고 밝혔다.설치된 악성파일은 감염된 PC의 컴퓨터 이름, 사용자 이름, 운영체제(OS), 실행 중인 프로세스 목록 등 다양한 시스템 정보를 해커에게 전송한다. 또한 해커의 명령에 따라 추가적인 악성 파일을 설치할 수 있는 다운로드 기능을 수행한다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.