송장·인보이스 사칭 악성 메일, 또 다시 국내 대량 유포

거래처 정보 수집 통해 2차 범죄 악용할 목적인 듯

7일 유포된 악성 메일은 악성코드 동작 안했지만...재유포 가능성 높아

[보안뉴스 권 준 기자] 최근 새로운 송장·인보이스를 사칭한 악성 이메일이 또 다시 국내에 대량 유포 중인 것으로 드러났다. 보안전문 기업 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면 지난 3월 7일부터 국내에 송장 혹은 인보이스를 위장한 새로운 악성 이메일이 다량 유포되고 있어 사용자들의 각별한 주의가 필요하다.

지난 2월 19일에도 이와 유사한 공격 사례가 발견된 바 있는데, 이번 공격도 같은 위협의 연장선으로 ESRC 측은 추정하고 있다. 실제 유포된 이메일을 살펴보면 한글로 된 발신자 명으로 되어 있으며, 법인 결산에 필요한 서류를 요청한다는 메일 내용이 포함돼 있다. 하지만 발송된 메일의 도메인을 검색해 보면 해당 도메인의 홈페이지로 접속 되는 것이 아니라 다른 홈페이지로 접속되는 것으로 분석됐다.

“안녕하세요 법인결산에 필요한 서류 요청드려요. 수고하세요 xxxx세무회계사무소 항상 귀사의 무궁한 발전을 기원합니다”로 된 이메일 본문 내용을 살펴보면 실제 한국에서 보내진 이메일로 오해할 수 있을 만큼 내용이 정교하다. 메일 내용에는 특정 세무회계사무소를 사칭하고 있지만, 해당 사무소의 실제 도메인은 메일에 기재된 도메인과 전혀 다른 도메인을 사용하고 있다. 또한, 해당 사무소의 고객상담센터 대표 번호와 팩스번호를 교묘하게 뒷자리만 바꿔 사용하고 있다. 그러나 한 가지 다행스러운 건 사용자가 해당 악성메일의 엑셀 파일(의뢰_030719_001.xls)을 다운받아 열려고 시도하면 아래와 같이 파일이 손상됐거나 안전하지 않을 수 있다는 경고 메시지가 팝업으로 뜨게 된다는 점이다. 실제 해당 파일을 열어 보면 내용이 손상되어 알아볼 수 없고, 실제 악성코드는 작동하지 않는다는 게 ESRC 측의 설명이다.

​

기업 사용자 타깃 해킹 툴 Ammyy 발견! 대규모 감염 피해 노리나

CLOP 랜섬웨어와 동일한 인증서로 유포... 동일 제작자 가능성 높아

[보안뉴스 권 준 기자] 최근 특정기관을 사칭한 피싱 메일이 활발하게 유포되고 있는 가운데 피싱 메일에 첨부된 증명서.xls 등 엑셀 문서파일의 경우 악성 매크로를 포함하고 있는 것으로 드러났다.

보안전문 기업 안랩의 보안위협 대응조직인 ASEC 분석팀에 따르면 최근 발견된 악성 매크로가 실행되면 Ammyy로 명명된 원격제어 기능의 악성코드가 설치되는 것으로 알려졌다.

지난 2월 발견된 엑셀 문서파일의 경우 Flawed Ammyy라고 불리는 원격제어 기능의 백도어 악성코드가 사용자의 PC에 설치된 바 있다. 또한, 얼마 전에는 Ammyy 백도어 악성코드와 CLOP 랜섬웨어가 동일한 인증서로 유포되는 사례가 발견됐다.

이러한 상황에서 ASEC은 해당 백도어 악성코드를 모니터링 하던 중, 해당 악성코드가 기업을 타깃으로 하는 코드 상의 변화를 포착했다고 밝혔다. Ammyy 악성코드가 해당 파일이 실행된 환경의 작업 그룹명을 확인하는 방식을 통해 기업 사용자 환경을 감염 타깃으로 한다는 점이다. 이를 통해 CLOP 랜섬웨어가 기업 사용자들을 타깃으로 유포되는데 Ammyy 백도어를 활용하는 것으로 추정할 수 있다.

이를 바탕으로 공격자들은 회사 내 주요 정보를 탈취하거나 회사 직원들을 타깃으로 대규모 랜섬웨어 감염을 노림으로써 최대의 수익을 얻으려는 목적으로 추정된다. 이에 각 기업에서는 해당 악성코드에 감염되지 않도록 보안 강화에 만전을 기해야 할 것으로 보인다.

​ 

참조사이트  
     

 http://www.dailysecu.com

 http://www.boannews.com

 http://www.boan.com

 http://www.dt.co.kr/

 http://www.datanet.co.kr/

 http://www.itdaily.kr

 [패치 및 업데이트]

애니위즈 홈페이지 구축 솔루션(위즈홈,위즈샵,위즈컴) 긴급 보안 업데이트 권고

□ 개요

 o 애니위즈에서 제작한 홈페이지 구축 솔루션에서 웹사이트 정보 유출에 악용될 수 있는 취약점이 발견되어 긴급 업데이트 배포

 o 영향 받는 제품을 사용 중인 이용자는 해결 방안에 따라 최신 버전으로 적극적인 업데이트 당부

□ 설명

 o 웹 구축 솔루션 이용 웹사이트 대상 정보유출 취약점

□ 영향 받는 제품

 o 위즈홈, 위즈샵, 위즈컴 제품(Ver8.x 이하 모든 버전)

□ 해결 방안

 o 아래 애니위즈 홈페이지를 참고하여 최신 보안 업데이트(Ver9.x 이상)으로 적용

  * 참고사이트 : http://anywiz.co.kr/center/notice.php?ptype=view&idx=60017&page=1&code=notice&category=57

  * 다운로드 링크 :  http://anywiz.co.kr/center/wizhome.php

□ 기타 문의사항

 o 애니위즈 연락처 : help@anywiz.co.kr, 1544-0713

 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

 [최신 바이러스 정보]

OLE/Cve-2017-0199.Gen
최초 발견일: 2019-03-08
종    류: 트로이목마(원격제어)
형    태: 실행파일
감염/설치경로: 파일실행, 메일, 다운로드
설   명: OLE/Cve-2017-0199.Gen는 악성 OLE파일의 원격코드 실행 취약점을 이용하여 공격을 수행하며 악성 네트워크에 연결하거나 시스템을 원격으로 제어할 수 있다.

Trojan/Win32.PbBot

최초 발견일: 2019-03-08
종    류: 트로이목마
형    태: 실행파일
감염/설치경로: 파일실행, 메일, 다운로드
설   명 : Trojan/Win32.PbBot는 트로이 목마의 일종으로 악성 스크립트를 실행시켜 특정 사이트에 접속시키고 C&C 서버의 명령어를 통해서 다양한 악성 기능을 수행한다.

Adware/Win32.FileFinder
최초 발견일: 2019-03-08
종    류: 유해가능(애드웨어)
형    태: 실행파일
감염/설치경로: 파일실행, 메일, 다운로드
설   명: Adware/Win32.FileFinder는 다양한 프로그램과 함께 번들로 설치되어 유포되며 사용자가 원하지 않은 프로그램을 다운로드하는 악성코드이다.

PUP/Win32.KorAd.C2903056
최초 발견일: 2019-03-08
종    류: 유해가능(애드웨어)
형    태: 실행파일
감염/설치경로: 파일실행, 메일, 다운로드
설   명: PUP/Win32.KorAd.C2903056는 광고 출력 기능을 가진 DLL 파일을 제작하는 Plan11(파일 제작 업체)의 PUP성 프로그램이다.

http://www.viruschaser.com 

  http://www.viruslist.com

  http://alyac.altools.co.kr/

  http://www.ahnlab.com/

 ​

​

[보안TIP]

위즈홈·위즈샵·위즈컴 등 애니위즈 홈페이지 구축 솔루션, 보안 업데이트 필수

[보안뉴스 권 준 기자] 2003년 설립되어 웹솔루션·웹에이전시 15년의 경력을 갖추고 1,400여곳의 고객을 보유하고 있는 애니위즈의 대표적인 홈페이지 구축 솔루션인 위즈홈·위즈샵·위즈컴에서 취약점이 발견됐다.

한국인터넷진흥원(KISA)에 따르면 애니위즈에서 제작한 홈페이지 구축 솔루션에서 웹사이트 정보 유출에 악용될 수 있는 취약점이 발견되어 긴급 업데이트가 배포됐다.

해당 취약점에 영향을 받는 제품은 홈페이지 솔루션 위즈홈과 쇼핑몰 솔루션 위즈샵, 그리고 일반 기업 홈페이지에 쇼핑몰 기능이 들어가는 경우 쉽게 개발이 가능하도록 한 위즈컴 제품의 8.x 버전 이하 모든 버전이다. 이에 따라 해당 솔루션을 사용 중인 기업이나 쇼핑몰 등은 최신 버전으로 반드시 업데이트 해야 한다.

이번에 발견된 취약점을 패치하기 위해서는 애니위즈 홈페이지(http://anywiz.co.kr/center/wizhome.php)를 참고해 9.x 버전 이상의 최신 버전으로 보안 업데이트가 필수적이다. 보다 자세한 사항은 애니위즈(고객센터: 1544-0713)나 KISA 인터넷침해대응센터(국번없이 118)로 문의하면 된다.

.http://www.krcert.or.kr/data/secNoticeList.do

http://www.microsoft.com/korea/security/default.mspx

http://www.adobe.com/kr/downloads/updates/