Home > 전체기사

국가기관과 호텔, 통신사 사칭한 이모텟 악성코드 대량 유포됐다

  |  입력 : 2020-01-22 16:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
동일한 메일을 조직 구성원이 함께 수신할 수 있도록 해주는 ‘그룹메일’ 타깃으로 유포

[보안뉴스 원병철 기자] 특정 국가 기관과 호텔, 통신사, 국내 기업의 정보를 무작위로 수집하거나 인용해 한국어로 작성된 메일과 함께 Emotet(이모텟) 악성코드가 대량으로 유포되고 있어 주의가 필요하다. 보안 전문 기업 이스트시큐리티(대표 정상원)은 2019년 4분기 꾸준히 유포가 진행됐던 Emotet 악성코드가, 잠시간의 휴식기를 가진 후 지난 1월 14일부터 또다시 본격적으로 유포되고 있다고 22일 밝혔다.

▲국내 기업을 사칭, 업무공유 메일로 위장한 Emotet 악성메일[자료=이스트시큐리티]


Emotet 악성코드는 주로 이메일을 통해 유포되며, 자가 복제, 사용자 정보 탈취 및 다운로드 등 다양한 악성 행위를 수행한다. 이번에 발견된 Emotet 악성코드 역시 기존에 발견되었던 것과 유사하게 메일 수신자가 첨부된 문서 파일을 열어보도록 유도하기 위해, 다양한 국내 기관과 기업 정보를 사칭해 업무공유 및 지원요청, 청구서, 견적서 등의 한글로 작성된 이메일을 발송하는 유포 방식을 사용하고 있다.

특히 이번 공격은 기업에서 업무 편의를 위해, 동일한 메일을 조직 구성원이 함께 수신할 수 있도록 해주는 ‘그룹메일’을 타깃으로 하고 있어 더욱 주의가 요구된다. 수신자가 doc 문서 파일을 열어보고 매크로 기능을 활성화한다면, 악성 파일에 포함되어 있던 파워셸 코드가 실행되며 공격자가 세팅한 C&C 서버에 접속하여 Emotet 악성코드를 내려 받게 된다. 사용자PC에서 실행된 Emotet은 자가복제 및 자동실행을 등록해, △사용자 PC 정보 탈취 △추가 악성코드 다운로드 △백도어 역할 등의 악성 행위를 수행하게 된다.

ESRC 센터장 문종현 이사는 “기업에서는 이러한 Emotet 악성코드 감염이 기업 내부 정보 유출 및 2차 공격으로 이어질 위험성이 높으므로, 출처가 불분명한 메일에 포함된 첨부파일과 링크에 대한 접근은 최대한 삼가야 한다”며, “특히 기업 그룹 메일 수신자에 대한 집중 모니터링이 필요하고, 검증되지 않은 파일은 실행 전 반드시 신뢰할 수 있는 백신 프로그램을 통해 악성 여부 검사를 수행해야 한다"고 당부했다.

한편 알약에서는 해당 Emotet 악성코드를 탐지명 ‘Trojan.Agent.Emotet’, ‘Trojan.Downloader.DOC.Gen’으로 차단, 치료하고 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협