시큐아이, 견적 요청 위장 악성 메일 유포…포털 웹메일 대용량 첨부파일 이용해 보안 탐지 우회
국내 주요기반시설을 노리는 스피어피싱 메일이 발견됐다. 시큐아이에 따르면 공격자는 국내 포털의 이메일을 사용했으며 정상적인 이메일로 위장하기 위해 견적을 요청하는 내용으로 위장했다. 이 메일은 대용랑파일 첨부 기능을 이용해 악성 첨부파일을 다운로드 해 탐지가 여렵다.
첨부된 파일은 ‘구매 주문서-PO-NO#6454758097,doc.ace’, ‘구매 주문서-PO-NO#6454758097,doc.rar’의 2개의 파일로 구성됐다.
파일을 실행해 악성코드가 설치되면 ‘로키봇(LokiBot)’이 실행된다. 지속적인 공격을 위해 자동 실행 레지스트리에 등록하고 시스템의 정보, FTP 계정 정보, 웹브라우저에 저장된 정보 등을 탈취해 C&C 서버로 전송한다. 정상적으로 접속될 경우 추가 악성행위가 가능하다.
김선호 시큐아이 콘텐츠개발팀장은 “이번 공격은 치밀하게 준비된 공격보다는 무차별적으로 기업이나 기관을 공격하는 형태로 추정되지만 이러한 공격들로 인해 국내 중요 기반시설의 보안에 허점이 발생할 수 있으니 각별한 주의가 필요하다”며 기관 및 기업 보안 담당자의 주의를 당부했다.
저작권자 © 데이터넷 무단전재 및 재배포 금지
