한글문서 이력서로 위장해 메일 발송…감염시 원격제어 공격 가능해
최근 마치 정상적인 채용관련 문의와 입사 지원서로 위장한 스피어피싱 공격이 추가로 발견되고 있다.
공격자는 한메일 서비스를 이용했으며 수신자 역시 한메일을 쓰는 이용자다. 수신자는 가상화폐 관련 사이트와 SNS 등에서 활동하는 것이 다수 확인됐다.
공격자가 사용한 'alosha'라는 계정은 그동안 여러차례 한국의 가상화폐 관련 사용자를 대상으로 꾸준히 공격하는데 사용된 바 있다.
이메일 본문에는 일반적인 입사지원 문의 내용을 포함하고 있으며 한컴의 문서파일인 HWP 파일 형식의 이력서가 포함되어 있다. 해당 HWP 문서파일을 열람하면 이력서 화면이 정상적으로 보인다.
악의적인 스크립트 코드가 정상적으로 실행되면 해외의 특정 명령 제어 서버(C&C) 3곳(일본 1곳, 미국 2곳)으로 통신을 시도한다. 만약 정상적으로 통신이 이뤄지면 감염된 이용자의 정보가 유출 된다. 또한 공격자의 명령에 따라 추가적인 악성 프로그램이 설치되어 원격제어 등의 공격이 진행될 수 있다.
이스트시큐리티 시큐리티대응센터 측은 “이러한 표적공격의 위협에 노출되지 않기 위해서는 문서작성 프로그램 등을 항상 최신 보안업데이트로 설치해야 하고 입사지원서나 문의관련 메일의 경우도 각별한 주의가 필요하다”며 “알약에서는 이런 종류의 악성파일을 Exploit.HWP.Agent 탐지명 등으로 탐지하고 있다”고 설명했다.
★정보보안 대표 미디어 데일리시큐!★
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지