이모텟 악성코드 재등장…그룹메일로 공격 성공률 높여
상태바
이모텟 악성코드 재등장…그룹메일로 공격 성공률 높여
  • 김선애 기자
  • 승인 2020.01.22 16:55
  • 댓글 0
이 기사를 공유합니다

이스트시큐리티, 다양한 국내 기관 사칭 업무 공유·지원요청으로 위장
자가복제·자동실행 등록·사용자 정보 탈취·백도어 등 악성행위

[데이터넷] 특정 국가 기관과 호텔, 통신사, 국내 기업의 정보를 무작위로 수집하거나 인용해 한국어로 작성된 메일과 함께 보내는 ‘이모텟(Emotet)’ 악성코드가 대량으로 유포되고있어 주의가 필요하다.

이스트시큐리티(대표 정상원)에 따르면 이모텟 악성코드는 이메일을 통해 유포되며, 자가 복제, 사용자 정보 탈취 및 다운로드 등 다양한 악성 행위를 수행한다. 기존에 발견된 것과 유사하게 메일 수신자가 첨부된 문서 파일을 열어보도록 유도한다. 다양한 국내 기관과 기업 정보를 사칭해 업무공유 및 지원요청, 청구서, 견적서 등의 한글로 작성된 이메일을 발송하는 유포 방식을 사용하고 있다.

이번 공격은 기업에서 업무 편의를 위해, 동일한 메일을 조직 구성원이 함께 수신할 수 있도록 해주는 ‘그룹메일’을 타깃으로 하고 있다. 수신자가 doc 문서 파일을 열어보고 매크로 기능을 활성화하면, 악성 파일에 포함되어 있던 파워셸 코드가 실행되며 공격자가 세팅한 C&C 서버에 접속해 악성코드를 내려받게 된다. 이 악성코드는 자가복제와 자동실행 등록 ▲사용자 PC 정보 탈취 ▲추가 악성코드 다운로드 ▲백도어 등의 악성행위를 한다.

ESRC 센터장인문종현 이사는 “기업에서는 악성코드 감염이 기업 내부 정보 유출 및 2차 공격으로 이어질 위험성이 높으므로, 출처가 불분명한 메일에 포함된 첨부파일과 링크에 대한 접근은 최대한 삼가해야 한다”며 “특히 기업 그룹 메일 수신자에 대한 집중 모니터링이 필요하고, 검증되지 않은 파일은 실행 전 반드시 신뢰할 수 있는 백신 프로그램을 통해 악성 여부 검사를 수행해야 한다”고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.