입사지원서 사칭…'소디노키비' 랜섬웨어 주의보

'비너스락커' 유포 조직 소행 추정…이스트시큐리티


[아이뉴스24 최은정 기자] 입사지원서를 사칭한 악성 메일을 통해 랜섬웨어가 유포되고 있어 이용자 주의가 요구된다. 공격자는 첨부 파일 이름에 긴 공백을 넣어 악성 파일임을 알아채기 어렵게 했다.

이스트시큐리티 시큐리티대응센터(ESRC)는 입사지원서를 사칭한 메일을 통해 랜섬웨어가 유포되고 있다고 12일 알렸다.

해당 파일을 다운로드 받게 되면 공격자의 명령제어서버(C2)와 통신해 '소디노키비' 랜섬웨어를 내려받게 돼 주요 데이터가 암호화된다.

입사지원서로 위장한 이메일 화면 [이미지=ESRC]

공격자는 구직자가 입사지원서를 제출하는 것처럼 꾸몄다. '회사명_직무(이름)'라는 메일 제목으로 내용도 자연스러운 한국말로 적혀 있다는 게 회사 측 설명이다. 첨부 파일은 '7z' 형식의 압축 파일로 확인됐다. 수신자가 압축을 해제하면 실제 입사지원서 제출 파일처럼 위장된 '이력서.pdf', '포트폴리오.pdf' 등의 파일이 나타난다.

공격자는 파일 이름에 긴 공백을 넣어 수신자가 'exe' 파일이라는 사실을 확인하기 힘들게 만들었다. 또 악성코드 파일명에 '_복사본'이라는 텍스트가 추가됐는데, 이는 공격자가 자신이 만든 악성 exe 파일을 복사하면서 붙여진 것으로 추정된다. 이 때문에 공격자가 한국어 윈도 운영제체를 쓰고 있다는 것으로도 해석된다.

과거 이메일에 랜섬웨어 파일을 직접 첨부해 유포하던 방식과 달리 다운로더를 통해 랜섬웨어를 추가로 설치하게 하는 것도 이번 공격의 특징이다.

악성 실행파일 이름에 긴 공백을 넣어 사용자가 착각하도록 만들었다. [이미지=ESRC]

ESRC는 이번 공격이 기존 '비너스락커' 악성코드 유포 조직 소행으로 추정했다.

문종현 이스트시큐리티 이사는 "해외 C2 서버에 한국어 버전 베리즈웹쉐어 파일 공유 서버가 구축된 것이 확인됐다"며 "이 베리즈웹쉐어 서버는 지난해 말 비너스락커 조직이 갠드크랩 유포에 활용했던 방식이라는 점에서 유사하다"고 설명했다.

현재 이스트시큐리티는 한국인터넷진흥원(KISA)과 협력을 통해 해당 악성코드 명령제어 서버를 차단하고, 긴급 모니터링 등 조치를 진행중이다. 또한 보안 백신 프로그램 알약에서 공격에 사용된 악성코드를 탐지·차단할 수 있도록 업데이트를 마쳤다.

최은정기자 ejc@inews24.com
아이뉴스24 창간 20주년, 소프라노 김성혜 한국 데뷔 10주년 독창회
I’m COLORATURA, I’m KIM SUNGHYE
2019. 11. 21 THU PM 8:00 롯데콘서트홀

관련기사


포토뉴스









아이뉴스24 TV