2024-03-29 01:30 (금)
[긴급] 현재 입사지원 사칭 랜섬웨어 유포 확산...피해 속출...주의!
상태바
[긴급] 현재 입사지원 사칭 랜섬웨어 유포 확산...피해 속출...주의!
  • 길민권 기자
  • 승인 2018.05.11 11:19
이 기사를 공유합니다

2016년 말부터 한국 기관, 기업 타깃 랜섬웨어 유포 조직 소행 추정

▲ 유명 취업사이트 공지사항에 랜섬웨어 주의 안내 공지
▲ 유명 취업사이트 공지사항에 랜섬웨어 주의 안내 공지
"회사 메인 컴퓨터가 랜섬웨어에 감염돼 중요 파일들이 다 날아갔어요. 복구도 안되고..." "어제 메일 받고 랜섬웨어 걸려서 노트북 포맷했어요..."랜섬웨어 걸린 후에 공지메일이 왔네요. 개인정보 털린거라고 생각이 되는데" "저도 당했습니다. 공지사항이 너무 늦은거 아닌가요"

현재 유명 취업사이트 공지사항에 올라오고 있는 댓글들이다. 취업 지원문의 메일로 위장한 메일에 랜섬웨어가 급속도로 확산되고 있다.

한국의 유명 취업전문 웹 사이트의 채용 공고와 지원문의로 위장한 '갠드크랩(GandCrab) 랜섬웨어(Ransomware)' 이메일이 급속도로 전파되어 피해가 속출하고 있어 기업의 채용 및 인사담당자들의 각별한 주의가 요구된다.

공격자는 2016년 말부터 한국의 특정기관 및 기업, 고유 커뮤니티에 속한 개인들을 상대로 약 1년 넘게 랜섬웨어 유포를 수행하고 있는 것으로 분석됐다.

이스트시큐리티 위협인텔리전스 전문조직 시큐리티대응센터(이하 ESRC) 측은 "며칠 전부터 국내 취업전문 웹 사이트의 채용정보에 기재된 기업 내 인사담당자 이메일로 집중 공격을 수행하고 있어 피해가 연이어 보고되고 있는 실정"이라며 "이전에는 주로 이메일에 압축된 형태로 악성파일(LNK, EXE, DOC)을 첨부해 사용했는데, 최근에는 이메일 본문에 악성 URL 링크를 한글로 연결시켜 클릭을 유도하고 다운로드된 압축파일 내의 'resume.js' 스크립트 파일로 랜섬웨어가 설치하도록 변경한 상태"라고 설명했다.

현재 관련해 특정 취업전문 사이트에서도 긴급 공지로 주의를 안내하고 있다. 피해상황도 올라오고 있다.

▲ 취업사이트에 현재 올라오고 있는 피해사례들
▲ 취업사이트에 현재 올라오고 있는 피해사례들
지난 5월 9일 한국에 유포된 이메일 중 하나로, 실제 채용지원 문의내용과 크게 차이가 없을 정도로 매우 정교하게 만들어진 것을 알 수 있다.

▲ 취업사이트 채용공고 지원 메일로 위장한 랜섬웨어 유포 이메일 화면
▲ 취업사이트 채용공고 지원 메일로 위장한 랜섬웨어 유포 이메일 화면

기존의 랜섬웨어 유포 이메일과는 다르게 악성 (압축)파일을 이메일에 첨부하지 않고, 본문에 '이력서를 첨부하였습니다.' 부분에 악성 URL 주소를 링크시켰다.

만일 해당 이메일을 수신한 인사담당자가 해당 링크를 클릭하면 IP주소가 미국 소재인 특정 대만기업의 웹 사이트로 통신을 하고, 발신자의 이메일 아이디처럼 위장한 이름의 압축 파일(발신자 이메일 아이디_resume.zip)이 또 다른 프랑스 소재의 서버에서 다운로드된다.

다운로드된 압축파일 내부에는 이력서를 의미하는 영문표기의 악성 자바스크립트 'resume.js' 파일이 포함되어 있다.

'resume.js' 자바스크립트 파일은 분석 및 보안탐지 회피 목적으로 코드가 난독화되어 있다.

기업의 인사담당자가 악성 스크립트 파일을 실행할 경우, 호스트가 미국 소재인 또 다른 명령제어(C2) 서버로 통신을 시도하게 된다.

만약 통신이 성공할 경우 컴퓨터의 임시폴더(Temp) 경로에 EXE 랜섬웨어 파일이 다운로드되게 된다.

악성 자바스크립트 파일은 C2 서버의 'update.php' 명령에 의해 '1.pdf' 파일명으로 다운로드한 후 다시 임시폴더(Temp) 경로에 랜덤한 파일명의 EXE 파일로 랜섬웨어를 생성하고 실행한다.

공격자는 C2 서버에 시간차를 두고 계속 변종 EXE 파일을 등록해, 새로운 변종 랜섬웨어를 지속적으로 유포하는데 활용하고 있다.

현재 ESRC는 한국인터넷진흥원(KISA)과 협력해 해당 서버의 국내 접속을 차단할 수 있도록 진행 중이며 추가 공격에 대한 모니터링을 강화하고 있다고 밝혔다.

ESRC는 "과거 비너스락커(Venus Locker) 랜섬웨어를 유포했던 공격자가 오토크립터(AutoCryptor) 랜섬웨어, 갠드크랩(GandCrab) 랜섬웨어 등 거의 1년 넘도록 한국 맞춤형 공격을 지속적으로 수행하고 있다"며 "유사 보안 위협에 노출되지 않도록 각별한 주의가 필요하다. 특히 최근 인사담당자를 겨냥한 공격이 증가하고 있다는 점에서 기업 보안 강화가 절실한 상황이다"라고 강조했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★