'코로나19 정보' 위장한 사이버 공격 총정리
상태바
'코로나19 정보' 위장한 사이버 공격 총정리
  • 최형주 기자
  • 승인 2020.03.19 16:53
  • 댓글 0
이 기사를 공유합니다

1월 말부터 3월 중순까지 코로나 관련 정보를 가장한 악성코드 유포 등 사이버 위협 사례

[CCTV뉴스=최형주 기자] WHO가 코로나19 팬데믹을 선언한 이후 세계 증시가 연이어 하락하고 있다. 영국의 경제연구기관 ‘이코노미스트 인텔리전스유닛(EIU)’은 전 세계 인구의 절반이 코로나19에 감염될 것이라는 분석을 내놨다.

이처럼 세계가 코로나19로 몸살을 앓고 있는 가운데, 이를 악용하는 사이버 범죄도 우후죽순 늘어나고 있다. 이에 지난 1월 말부터 3월 중순까지 코로나 관련 정보를 가장한 악성코드 유포 등의 알려진 사이버 위협 사례들을 정리해봤다.
 

 

1월 28일

-이스트시큐리티는 국내에 우한 폐렴 정보를 가장한 스미싱 메시지가 유포되기 시작했다고 밝혔다.

 

1월 30일

-IBM X-Force가 일본 정부로 위장해 코로나 바이러스 관련 정보를 제공하는 문서를 열어보도록 하는 피싱 메일을 발견했다. 첨부 문서는 이모텟(Emotet) 랜섬웨어를 포함하고 있는 것으로 분석됐다.

 

1월 31일

-카스퍼스키가 코로나 바이러스 관련 문서를 위장해 PDF, MP4, DOCX 파일 형식으로 제공되는 악성코드를 발견했다.

-보안기업 KnowBe4가 미국과 영국의 개인을 노리는 피싱 캠페인을 발견했다. 공격자들은 미국 질병통제예방센터(Centers for Disease Control and prevention, 이하 CDC) 바이러스 학자를 사칭해 이모텟(Emotet) 랜섬웨어를 유포하는 것으로 밝혀졌다.

 

2월 1일

-Cybaze-Yoroi Z-Lab 연구원들이 코로나 바이러스 관련 정보를 가장한 악성코드 스팸 피싱 메일을 발견했다. 이 메일 역시 이모텟 랜섬웨어를 유포하고 있는 것으로 드러났다.

 

2월 6일

-이스트시큐리티가 코로나를 이용한 피싱 캠페인이 국내에서도 발견했다고 밝혔다. 이 피싱 메일은 한 대만 회사를 사칭해 중국의 코로나 상황 정보를 제공하는 첨부파일 실행을 유도했다. 첨부파일이 실행되면 PC는 백도어 기능을 수행할 수 있는 악성코드를 공격자의 구글드라이브에서 다운받아 직접 실행했다.

 

2월 20일

-이스트시큐리티가 ‘Information on Travelers from Wuhan China to India’라는 파일명을 사용한 랜섬웨어 유포 공격을 발견했다. 이 공격은 CXK-NMSL(혹은 ChineseBAT) 랜섬웨어를 유포한다.

 

2월 26일

-이스트시큐리티가 CDC를 사칭하는 악성 메일을 발견했다. 해당 메일은 화면보호기 파일(SCR)로 위장했고, Remcos RAT 악성코드 최신 버전을 포함하고 있었다.

-이스트시큐리티가 한글로 작성된 코로나19 정보 사칭 악성코드를 발견했다. 이 공격은 북한 APT그룹으로 알려진 ‘김수키(Kimsuky)’ 조직의 소행인 것으로 분석됐고, 첨부된 워드(Doc) 문서파일의 매크로를 실행할 경우 악성코드를 내려 받아 실행한다.

 

3월 3일

-이스트시큐리티가 ‘비건 미국무부 부장관 서신’이라는 키워드를 포함한 악성 파일을 발견했다. 이 공격 또한 앞서 언급한 김수키 조직이 유포한 것으로 추정되며, 마찬가지로 매크로를 통해 악성코드를 유포한다.

 

3월 4일

-이스트시큐리티가 ‘코로나(Corona)’라는 이름을 그대로 사용하는 코로나 랜섬웨어를 발견했다. 이 랜섬웨어는 지난 2019년 11월 경 유포된 바 있는 Hakbit 랜섬웨어 변종으로 추정되며, 감염 PC 이용자가 파일 복구를 원할 시 300달러 가치의 비트코인을 요구한다.

 

3월 6일

-보안기업 소포스가 이탈리아에서 WHO 소속 의사로 사칭해 ‘트릭봇(TrickBot)’ 멀웨어를 유포하는 악성 메일을 발견했다. 트릭봇은 감염 PC의 정보를 훔쳐내고, 마지막엔 류크(Ryuk) 랜섬웨어를 유포해 추가 금전 수익 창출을 노린다.

 

3월 9일

-보안기업 Reason Labs가 실제 ‘코로나 정보 맵’을 제공하는 프로그램에서 ‘AZORult’로 알려진 악성코드를 유포하고 있었음을 밝혀냈다. 이 악성코드는 이용자 PC의 개인정보와 카드번호 등을 훔쳐낸다. 특히 이 프로그램은 존스 홉킨스 대학이 제공하는 코로나 정보를 로드하는 것으로 드러났으며, MalwareHunterTeam이 처음으로 발견한 것으로 알려졌다.

 

3월 10일

-이스트시큐리티가 WHO를 위장한 악성 메일을 발견했다. 이 악성 메일은 본문에 SNS아이콘을 누르면 WHO 공식 SNS계정으로 연결되는 치밀함을 갖췄고, 첨부파일을 실행 시 악성파일을 자동 다운로드 받아 개인정보를 수집 후 C&C 서버(공격자 서버)로 전송한다.

 

3월 12일

-MalwareHunterTeam이 가짜 WiseCleaner 사이트를 통해 윈도우 최적화 유틸리티로 위장해 유포되는 CoronaVirus 랜섬웨어를 발견했다. 이 악성 프로그램을 설치하게 되면 Kpot 패스워드 스틸링 트로이목마가 함께 설치되며, Kpot은 각종 크리덴셜은 물론, 가상화폐 지갑까지 훔친다. 이후 코로나바이러스 랜섬웨어가 PC의 파일들을 암호화한다.

 

3월 14일

-MalwareHunterTeam이 COVID-19라는 키워드를 사용하는 압축파일이 첨부된 피싱 이메일을 발견했다. 압축파일에는 워드 문서파일이 포함돼 있고, PC는 새로운 백도어 멀웨어 ‘BlackWater’에 감염된다.

 


지난 한달 반 동안 정말 많은 코로나 관련 정보로 위장 사이버 공격이 발견된 것을 확인할 수 있었다. 이렇게 개인 혹은 대중의 관심사를 이용해 악성파일 실행을 유도하는 위협을 ‘사회공학적 공격기법’이라 부른다. 

보안 업계는 현재 코로나19 정보로 위장한 사기도메인이 매일 수천 개씩 생성되고 있다고 경고했으며, 보안 업계가 파악하지 못한 사이버 공격 사례도 무수히 많을 것으로 추정된다.

이러한 사이버 공격 피해를 예방하기 위해선 ▲출처가 불분명한 이메일(혹은 링크)의 첨부파일 실행 금지 ▲다운로드받은 문서파일 실행 시 매크로 실행 금지 ▲운영체제와 안티바이러스 프로그램 최신 버전 사용 ▲알 수 없는 무료 와이파이 사용 금지 등의 기본적인 보안 수칙들을 반드시 지켜야 함을 명심하자.

 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.