현대엔지니어링 사칭 악성메일 유포! 거래명세표 열면 트로이목마 감염
admin
2020-02-14
조회수 1,339
[보안뉴스 원병철 기자] 현대엔지니어링을 사칭한 악성메일이 등장해 관계자들의 주의가 요구된다. 10일 오전 발견된 이번 악성메일은 ‘Hyundai: 빠른 선적 서류-상업 송장’이란 제목으로 발송됐으며, 본문에도 ‘Hyundai Engineering Company’라고 적어 마치 현대엔지니어링에서 메일을 보낸 것처럼 위장하고 있다.
▲현대엔지니어링을 사칭한 악성메일[자료=보안뉴스]
본문 내용은 심플하다. 특정인에게 보낸 듯한 ‘팀장님 안녕하세요 거래명세표및 수금관련 문서 첨부합니다. 감사합니다.’라고 정확한 한글표현으로 작성되어 있다. 띄어쓰기가 일부 틀리고 마침표도 빠져 있지만, 크게 어색하지 않은 내용임을 볼 때 ①한글 사용에 익숙한 공격자이거나 ②실제 메일을 그대로 사용했을 가능성이 있다.
특히 ‘김○○○ 사원’이란 실제 사원이 보낸 것처럼 부서명과 회사 주소까지 모두 작성해 메일 수신자를 속이고 있다. 주목할 점은 전화번호는 넣지 않아 바로 확인하지 못하도록 했다는 점이다. 특정인물을 사칭한 악성메일은 대부분 실제 연락처가 적혀 있기 때문에 바로 확인이 가능했다.
첨부된 파일은 디스크 이미지 파일인 ‘.img’ 확장자이며, 압축 프로그램으로 압축을 풀 수 있다. 파일의 압축을 풀면 PDF를 사칭한 실행파일(.exe)이 나오며, 바이러스 토털에서 분석한 결과 트로이 목마 계열로 확인됐다. 실행파일을 실행할 경우 악성파일이 실행되어 해당 PC의 주요정보 및 통제권을 빼앗길 수도 있다.
해당 파일을 처음 분석했을 때 대다수의 안티 바이러스 프로그램들이 악성여부를 감지하지 못했고, 10일 오후 3시 30분 현재까지도 71개 프로그램 중 17개만이 악성으로 진단하고 있는 만큼 주의를 기울여야 한다. 물론 바이러스 토털과 달리 안티 바이러스 프로그램은 실시간으로 업데이트하는 만큼, 바이러스 토털에서 잡지 못했다 해도 실제 안티 바이러스 프로그램은 감지할 수 있기 때문에 100% 정확한 것은 아니다.
보안전문가들은 디스크 이미지 파일로 된 악성파일 역시 많이 보이는 공격 중에 하나라면서 ‘송장, 수금’ 등 영업과 관련된 제목으로 메일을 받았을 경우 실제 거래회사인지, 실제 해당 메일을 보냈는지 확인하고 열어봐야 한다고 조언했다.
아울러 이번 공격자들은 공격대상자에게 악성메일을 보내면서 리스트를 ‘숨은 참조’가 아닌 ‘받는 사람’에 넣어 메일을 받은 사람에게 ‘명단’을 노출시키는 이른바 ‘동보메일’ 발송실수를 저질렀다. 이번에 공격메일을 받은 사람은 총 98명으로 제조사와 IT기업, 물류업체 등 다양한 기업인 것으로 확인됐다.
한편, 10일 오전에는 ‘오늘 이메일 계정을 업데이트 하십시오’라는 제목의 악성메일도 발견됐다. 악성메일은 귀하의 계정을 비활성화하려는 절차가 시작됐다면서, 본인이 절차를 진행했거나(예, 나왔습니다), 진행하지 않았거나(아니요, 내가 아니었습니다)를 선택해 계정정보를 작성하도록 하고 있다.