Home > 전체기사

‘법원명령’ 메일 받았다고? 알고 보니 피싱 메일

  |  입력 : 2022-06-08 17:29
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
2021년 연말에 등장했던 법원명령을 위장한 공격과 유사해
주기적인 계정정보 변경 및 이중인증 사용해야 피해 막을 수 있어


[보안뉴스 원병철 기자] 최근 법원을 사칭해 첨부된 파일을 실행하도록 유도하는 피싱 메일이 재발견돼 사용자의 주의가 요구된다. 이스트시큐리티 시큐리티 대응센터(ESRC)는 법원명령을 위장한 피싱 메일이 유포되고 있으며, 지난 2021년 연말에 등장했던 법원명령을 위장한 공격과 유사하다고 밝혔다.

▲법원명령 제목으로 유포된 피싱 메일[자료=ESRC]


이번에 발견된 피싱 메일은 ‘법원 명령’이란 제목으로 유포됐으며, ESRC에서는 21년 말에도 유사한 피싱 메일에 대해 주의를 당부한 바 있다고 밝혔다.  특히 이번에 발견된 이메일 역시 기존에 공개하였던 피싱 메일과 내용, 유포방식 등이 유사한 것으로 보아 동일 공격자 혹은 조직의 소행으로 추정된다고 ESRC는 설명했다.
 
피싱 메일은 마치 번역기를 돌린 것 같은 어색한 문구로 작성되어 정독을 해보아도 이해하기 어렵다. 다만, 실제 로펌 이메일 계정으로 발송되었으며, ‘법원’, ‘법원명령’, ‘판사’ 등의 단어가 본문 내 포함되어 있어, 경우에 따라 수신자가 해당 이메일을 열어볼 가능성도 있다.
 

▲피싱 메일 내 첨부파일[자료=ESRC]


피싱 메일 내에는 압축파일이 포함되어 있어 사용자의 실행을 유도한다. 첨부되어 있는 exe파일은 NSIS 인스톨러로 제작되었으며, 이 인스톨러 안에는 여러 파일들이 포함되어 있다. 

▲NSIS 인스톨러 내부[자료=ESRC]


만일 사용자가 첨부되어 있는 exe 파일을 실행하면, 인스톨러 안의 파일들을 시스템 TEMP 폴더에 드랍한 후 jkaer.exe 파일을 통해 6a19z4aegi 파일을 로드한다. 6a19z4aegi 파일은 Formbook 페이로드로, anti-VM, anti-debug 체크를 통해 가상환경과 디버깅환경을 체크한 후 다음 프로세스 리스트 중 하나의 프로세스를 랜덤하게 골라 인젝션을 시도한다. 성공적으로 인젝션하면 악성행위를 시작하며, 내부에 포함하고 있는 c2리스트에 순차적으로 접속을 시도한다. 만일 연결되는 c2주소가 있을 시, 접속된 c2서버로부터 실제 c2서버 주소를 내려 받아 연결을 시도한다. 
 
하지만 ESRC 분석 시점에서는 리스트에 있는 모든 c2에 접속이 안돼 실제 c2서버의 주소는 확인하지 못했다고 설명했다. 만일 실제 c2 서버에 접속이 성공해 Formbook 악성코드가 정상 동작하면, 사용자 정보가 탈취되어 공격자 서버로 전송되며, 이렇게 탈취된 정보들은 향후에 더 정교한 공격을 진행할 수 있는 정보로 사용할 수 있다.
 
ESRC는 “공격자들은 실제 해킹당한 로펌 메일 계정을 이용해 피싱 메일을 유포하고 있어, 기업 사용자들은 계정 관리에 각별히 유의해야 한다”면서, “이러한 공격에 피해를 입지 않으려면, 주기적으로 계정정보를 변경해 주거나 이중인증을 통해 계정보안을 강화하는 것이 필요하다”고 권고했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)