이스트시큐리티가 기업 담당자를 겨냥한 스피어피싱 공격을 포착하고 주의를 당부했다.
이스트시큐리티는 이스트시큐리티 대응센터(ESRC)가 지능형 지속 공격 탐지 시스템인 APT TDS를 통해 '개인정보 유출 의심 확인 요청'을 사칭한 표적형 악성 메일 공격을 확인했다고 15일 밝혔다.
이번 공격은 특정 기업 담당자와 여러 차례 정상적인 메일을 주고받아 신뢰를 쌓은 뒤 악성 파일 실행을 유도하는 방식으로 이뤄졌다. 공격자는 악성 링크가 보안 솔루션에 차단되자 “오탐지로 보인다”고 안내한 뒤 암호가 설정된 압축 파일 형태로 악성코드를 다시 보낸 것으로 파악됐다.
사용자가 압축을 풀고 문서로 위장한 윈도우 바로가기(LNK) 파일을 실행하면 32비트 파워셸(PowerShell)이 호출된다. 사용자 화면에는 정상 엑셀(XLSX) 또는 PDF 문서가 표시되지만, 백그라운드에서는 시스템 정보 탈취와 추가 악성 행위가 수행되는 구조다.
ESRC는 수집한 악성 샘플 3종이 동일한 내부 구조와 고객현황 위장 문서를 공유한다고 설명했다. 또 공격 방식이 북한 연계 해킹 조직으로 알려진 '킴수키(Kimsuky)'의 기존 공격 패턴과 유사하다고 밝혔다.
ESRC 관계자는 “외부 발신자와 자연스럽게 대화가 이어지더라도 첨부파일이나 링크 실행에는 주의해야 한다”며 “보안 솔루션이 차단한 파일을 암호 압축 파일로 재전송하는 경우 절대 실행해서는 안 된다”고 말했다.
박진형 기자 jin@etnews.com
