[CCTV뉴스=최형주 기자] 8월 9일 오전부터 국내 기업들을 대상으로 스캔 파일로 위장한 악성 이메일이 대량 유포중인 것으로 드러나, 첨부파일 실행 시 주의가 요구된다.
이스트시큐리티 시큐리티대응센터(ESRC)는 자사의 보안블로그를 통해 이번 악성 메일 유포가 해커조직 TA505에 의해 이뤄지고 있다며, 메일 본문에 전자서명을 넣어 메일 수신자의 의심을 덜도록 유도하고 있다고 밝혔다.
TA505는 정교한 한국어를 사용해 휴가철을 이용한 전자항공권 위장 악성 메일, 송금증 내용 위장 피싱 메일, 국세청 사칭 악성 메일 등 다양한 방식으로 기업들을 공격하고 있는 사이버 범죄 조직이다.
금일 발견된 메일은 특정 중소기업을 사칭해 ‘스캔파일’이라는 제목으로 발송된다. 메일에는 MS word로 작성된 doc 형식 파일이 첨부돼 있으며, 실행 시 ‘물품인수증’이라는 내용의 문서로 사용자가 워드 매크로 기능을 활성화하도록 유도한다.
매크로 기능을 활성화해 공격자가 숨겨둔 스크립트가 실행되면 Ammyy RAT 계열의 추가 악성코드가 C&C서버에서 암호화된 형태로 다운로드돼 설치됨과 동시에 윈도우 센터를 위장해 작업스케줄러에 등록된다.
이후엔 부팅 시마다 악성코드가 자동실행되고, 해커는 해당 PC를 원격으로 제어할 수 있게 돼 기업 내부 시스템에 치명적인 악성 공격을 실행할 수 있다.
ESRC는 “이번 악성 공격은 정황상 TA505 조직 수행 공격으로 보인다”며 “분석 중 독특한 부분을 확인했는데, 바로 지난해 발견된 갠드크랩(GandCrab) 랜섬웨어와 서명자 정보가 동일하다는 점”이라고 밝혔다.
현재 알약은 해당 악성파일을 'Backdoor.RAT.FlawedAmmyy, Trojan.Downloader.XLS.gen, Trojan.Downloader.DOC.gen'으로 탐지하고 있다.
