보안 기업 이스트시큐리티가 국내 구인구직 사이트와 유사한 도메인을 이용한 악성코드 공격을 발견하고 각별한 주의를 당부했다.
이번 공격은 입사지원서 이메일을 위장한 피싱 메일을 통해 진행됐다. 주목할 만한 점은 이메일 내 첨부되어 있는 악성 링크의 도메인 주소를 실제 존재하는 국내 구인구직 사이트와 유사하게 생성하여, 마치 실제 구인구직 사이트를 통해 파일이 전달된 것처럼 보이도록 유도한다는 점이다.
이번 공격에는 'job1-info[.]com' 도메인이 활용되었는데, 이는 실제 구인구직 사이트인 잡인포(jobinfo)' 도메인 주소를 모방한 것으로 볼 수 있다.
공격에 악용된 C&C 서버 아이피 '45.76.211.14'를 추가 조사한 결과, 'job3-info[.]com', 'jd-albamon[.]com', 'jobdown3[.]com' 등의 도메인 사용 이력이 존재하여 다수의 유사 공격이 이미 진행되었다는 것을 알 수 있다.
만일 이메일 수신자가 링크를 클릭하면, 공격자 서버에서 '오**-hwp(입사지원서).exe' 파일명의 악성 실행파일(.EXE)이 포함되어 있는 캐비닛 파일(.CAB)이 전달된다.
윈도우의 폴더 보기 기본 옵션에서는 파일의 확장자가 보이지 않기 때문에, 공격자는 이런 점을 악용하여 파일명에 hwp 단어를 추가해 한글 문서 파일처럼 보이도록 유도했다.
사용자가 내부에 포함되어 있는 실행 파일을 실행하면 백그라운드에서는 'netscore.exe' 프로그램을 실행시키며, 사용자 화면에는 실제 이력서처럼 위장한 디코이 파일을 보여주어 사용자가 공격임을 인지하지 못하도록 한다.
netscore.exe 파일은 감염 PC의 정보를 수집하여 특정 서버로 전송하며, 공격자의 명령에 따라 음성 녹음, 폴더 및 파일 정보 수집 등 다양한 추가 악성 행위를 할 수 있는 명령 제어 기능도 다수 포함하고 있다.
이스트시큐리티 시큐리티대응센터(ESRC)는 "입사지원서를 위장한 피싱 메일을 통한 공격은 공격자들이 즐겨 사용하는 공격 방식 중 하나다. 공격자들은 입사지원서라는 동일한 주제를 가지고 다양한 형태의 공격 방식을 연구하고 있는 만큼, 이메일 내 첨부 파일이나 링크 클릭 시 반드시 주의해야 한다"고 말했다.
이스트시큐리티는 연관 악성 파일의 탐지 기능을 자사 알약(ALYac) 제품에 긴급 업데이트 하고, 피해 확산 방지를 위한 대응 조치를 국가사이버안보협력센터(NCCC)와 한국인터넷진흥원(KISA) 등 관련 부처와 긴밀하게 협력하고 있다고 전했다.
