Home > 전체기사
우리은행 사칭한 소디노키비 랜섬웨어 공격 유포됐다
  |  입력 : 2019-08-26 19:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
ESRC, 이번 공격 배후로 리플라이 오퍼레이터 그룹 지목

[보안뉴스 원병철 기자] 특정기관을 타깃으로 한 우리은행 사칭 악성 이메일 공격이 발견돼 주의가 요구된다. 이스트시큐리티 시큐리티대응센터(ESRC)는 지난주 금요일부터 이러한 공격메일이 확인됐으며, 첨부파일을 실행하면 소디노키비(Sodinokibi) 랜섬웨어에 감염된다고 밝혔다.

▲우리은행을 사칭하여 공격자가 특정 타깃에게 발송한 악성 이메일 [자료=ESRC]


공격자는 우리은행을 사칭한 메일로 타깃을 노렸다. 메일 발신자명을 ‘Woori Financial Departments’로 사용했으며, ‘지불 정지. 우리 은행’이라는 메일 제목을 사용했다. 또한, 첨부한 압축파일 역시 ‘우리_은행’이라는 이름을 사용했다.

▲MS워드 문서로 위장한 악성파일[자료=ESRC]

메일에 첨부되어 있는 압축파일을 해제하면, ‘결제정보_세부 정보가 잘못 입력되었습니다’라는 MS워드 문서파일을 위장한 .exe 파일이 나타난다. 메일 수신자가 이 실행파일을 클릭하게 되면 Sodinokibi 랜섬웨어에 감염된다.

특이한 사항은, 공격자가 보낸 악성 이메일을 텍스트뷰어로 열람하면, 러시아의 대문호인 ‘톨스토이’에 대한 소개 내용을 확인할 수 있다는 점이다.

ESRC는 공격자가 보낸 이메일을 확인 및 분석한 결과 메일발송 방식 등 여러 가지 정황상 이번 악성 이메일 공격은 리플라이 오퍼레이터 조직이 수행한 것으로 판단된다고 밝혔다. 리플라이 오퍼레이터 그룹은 최근 살짝 뜸하긴 했지만 6월초까지 다양한 피싱 메일을 활용하여 신종 Sodinokibi 랜섬웨어를 국내에 대량으로 유포한 조직이다.

따라서 각 기업의 담당자는 출처가 불분명한 사용자에게서 온 메일에 포함된 첨부파일 다운로드를 지양해 줄 것은 물론, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 달라고 ESRC는 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)