Home > 전체기사
현대엔지니어링 사칭 악성메일 유포! 거래명세표 열면 트로이목마 감염
  |  입력 : 2020-02-10 18:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
거래명세표 및 수금 등 첨부파일 열어보도록 금전적 내용 담아...사칭 메일에 연락처 없어 확인 어려워
10일 오전, 이메일 계정 업데이트 사칭 악성메일 공격도 발견돼


[보안뉴스 원병철 기자] 현대엔지니어링을 사칭한 악성메일이 등장해 관계자들의 주의가 요구된다. 10일 오전 발견된 이번 악성메일은 ‘Hyundai: 빠른 선적 서류-상업 송장’이란 제목으로 발송됐으며, 본문에도 ‘Hyundai Engineering Company’라고 적어 마치 현대엔지니어링에서 메일을 보낸 것처럼 위장하고 있다.

▲현대엔지니어링을 사칭한 악성메일[자료=보안뉴스]


본문 내용은 심플하다. 특정인에게 보낸 듯한 ‘팀장님 안녕하세요 거래명세표및 수금관련 문서 첨부합니다. 감사합니다.’라고 정확한 한글표현으로 작성되어 있다. 띄어쓰기가 일부 틀리고 마침표도 빠져 있지만, 크게 어색하지 않은 내용임을 볼 때 ①한글 사용에 익숙한 공격자이거나 ②실제 메일을 그대로 사용했을 가능성이 있다.

특히 ‘김○○○ 사원’이란 실제 사원이 보낸 것처럼 부서명과 회사 주소까지 모두 작성해 메일 수신자를 속이고 있다. 주목할 점은 전화번호는 넣지 않아 바로 확인하지 못하도록 했다는 점이다. 특정인물을 사칭한 악성메일은 대부분 실제 연락처가 적혀 있기 때문에 바로 확인이 가능했다.

첨부된 파일은 디스크 이미지 파일인 ‘.img’ 확장자이며, 압축 프로그램으로 압축을 풀 수 있다. 파일의 압축을 풀면 PDF를 사칭한 실행파일(.exe)이 나오며, 바이러스 토털에서 분석한 결과 트로이 목마 계열로 확인됐다. 실행파일을 실행할 경우 악성파일이 실행되어 해당 PC의 주요정보 및 통제권을 빼앗길 수도 있다.

해당 파일을 처음 분석했을 때 대다수의 안티 바이러스 프로그램들이 악성여부를 감지하지 못했고, 10일 오후 3시 30분 현재까지도 71개 프로그램 중 17개만이 악성으로 진단하고 있는 만큼 주의를 기울여야 한다. 물론 바이러스 토털과 달리 안티 바이러스 프로그램은 실시간으로 업데이트하는 만큼, 바이러스 토털에서 잡지 못했다 해도 실제 안티 바이러스 프로그램은 감지할 수 있기 때문에 100% 정확한 것은 아니다.

보안전문가들은 디스크 이미지 파일로 된 악성파일 역시 많이 보이는 공격 중에 하나라면서 ‘송장, 수금’ 등 영업과 관련된 제목으로 메일을 받았을 경우 실제 거래회사인지, 실제 해당 메일을 보냈는지 확인하고 열어봐야 한다고 조언했다.

아울러 이번 공격자들은 공격대상자에게 악성메일을 보내면서 리스트를 ‘숨은 참조’가 아닌 ‘받는 사람’에 넣어 메일을 받은 사람에게 ‘명단’을 노출시키는 이른바 ‘동보메일’ 발송실수를 저질렀다. 이번에 공격메일을 받은 사람은 총 98명으로 제조사와 IT기업, 물류업체 등 다양한 기업인 것으로 확인됐다.

▲이메일 계정 업데이트 공격에 사용된 악성메일[자료=보안뉴스]


한편, 10일 오전에는 ‘오늘 이메일 계정을 업데이트 하십시오’라는 제목의 악성메일도 발견됐다. 악성메일은 귀하의 계정을 비활성화하려는 절차가 시작됐다면서, 본인이 절차를 진행했거나(예, 나왔습니다), 진행하지 않았거나(아니요, 내가 아니었습니다)를 선택해 계정정보를 작성하도록 하고 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)