한글로 작성된 메일 첨부파일 이용해 공격…국내 기업 타깃 공격 이어가
[데이터넷] 엑셀 문서파일의 매크로 기능을 이용하는 클롭(Clop) 랜섬웨어가 국내 기업을 타깃으로 공격을 이어가고 있다.
체크멀(대표 김정훈)에 따르면 클롭은 올해 2월 국내 AD 서버를 감염시켜 피해를 일으키기 시작했으며, 한글로 작성된 이메일의 엑셀 첨부파일을 이용해 공격을 진행한다. 매크로를 활성화하면 백도어가 설치된다. 공격자는 관리자가 퇴근한 야간에 유효한 디지털 서명이 포함된 클롭 랜섬웨어 악성 파일을 윈도우 폴더 내에 생성한 후 서비스에 등록하고 감시가 허술한 시간대에 실행해 다수의 서버와 클라이언트 PC에서 동시다발적으로 파일 암호화 행위를 진행한다.
클롭 랜섬웨어는 사전에 감염시킨 백도어를 통해 피해 기업의 보안 상태를 확인하며, 사용하는 백신 프로그램을 무력화하고, 시스템 복구를 할 수 없는 상태로 만든 다음 랜섬웨어 행위를 시작한다.
체크멀 관계자는 “랜섬웨어 피해를 막기 위해서는 중요한 데이터를 안전하게 백업하며, 메일 첨부파일의 매크로 기능을 활성화 할 때 각별히 주의하도록 전사 보안 교육을 진행해야 한다”며 “체크멀의 ‘앱체크’는 클롭 랜섬웨어에 의해 파일 암호화가 진행될 경우 차단해 피해 확산을 막는다”고 말했다.
저작권자 © 데이터넷 무단전재 및 재배포 금지
