공격자는 한글로 작성한 이메일에 마치 구직자 이름의 채용서류 파일처럼 만든 악성파일을 압축해 첨부하고 있다.
이력서 파일로 위장한 압축파일 내부에는 '0.png' 이미지 파일과 '(이름) 이력서.doc' 파일이 포함되어 있다. 이미지 파일은 아무런 내용이 없는 단순 파일이며 이력서 파일을 열도록 현혹하는데 활용하는 것으로 추정된다.
이력서 파일은 2017년 12월 6일 오후 7시 41분에 압축된 것을 확인할 수 있으며 마이크로소프트 오피스 문서 파일로 작성되어 있다.
공격자는 12월 6일 악성 파일을 제작해 준비한 다음 12월 7일 오후 12시 20분에 한국의 특정인에게 해킹 이메일을 발신했다.
해당 파일의 매크로에는 down 명령어 부분에 Base64 코드가 인코딩되어 있으며, 이 부분을 디코딩하면 'monecom.ddns.net/mm.exe' 악성 URL 주소와 감염자 정보 수집 목적의 'monecom.ddns.net/count.php' 사이트가 연결된다.
공격자는 이렇게 매크로를 이용해 악성파일을 유포하고 불특정 다수 기업의 채용 담당자들을 대상으로 감염을 시도한다.
특히 유포된 악성파일이 한국어 기반으로 제작되어 있고 제작자는 'Peter' 영문표기의 윈도우즈 계정명을 사용하고 있다는 것을 알 수 있다.
악성파일이 실행되면 또 다시 파일을 하나 다운로드한다. 추가로 다운로드되는 'mm.zip' 파일에는 다양한 종류의 모듈이 포함되어 있고 내부에는 암호 화폐 채굴 기능 추정의 파일(minerd.exe)이 포함되어 있다. 공격자는 여러 정황상 한글을 사용하고 있다는 것도 알 수 있다.
'minerd.exe' 파일은 가상화폐 채굴 기능이 있는 'crss.exe' 파일을 활용해 작동을 하게 된다. 공격자는 'milqui1979@mail.ru' 러시아 이메일 계정을 사용한다.
이처럼 공격자는 구직 채용 내용으로 사칭한 한국어 맞춤형 스피어 피싱 공격 기법을 활용해 가상화폐 채굴 기반 악성파일을 유포한 것입니다.
이스트시큐리티 시큐리티대응센터(ESRC)측은 “기업의 채용 및 인사담당자는 구직 문의 등으로 접수되는 이메일도 항상 주의하고 매크로 기능이 포함된 문서파일의 경우 절대로 열람하면 안된다. 또한 문서 작성 프로그램은 항상 최신 업데이트를 유지하는 노력도 필요하다”며 “비슷한 사례로 얼마전 비너스락커 랜섬웨어 제작자도 이메일을 통해 가상화폐 채굴 공격을 수행한 바 있다”고 밝히고 주의를 당부했다.
★정보보안 대표 미디어 데일리시큐!★