상단여백
HOME 클라우드 보안
‘e티켓 확인하세요’…전자항공권 위장파일 첨부한 해킹메일 발견여름철 휴가시즌 노린 항공권 사칭파일로 악성코드 유포

[IT비즈뉴스 김진수 기자] 국내 항공사의 전자항공권(e티켓) 확인증으로 위장한 파일이 첨부된 해킹 이메일이 유포되고 있어 주의가 요구된다.

25일 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 정교한 한국어로 작성된 ‘**항공 e-티켓 확인증입니다’ 제목의 이메일에서 ‘e-Ticket 확인증_95291015.iso’의 악성파일이 첨부된 사례가 발견됐다.

압축을 해제하면 아이콘과 확장자명을 PDF 문서로 위장한 ‘e-Ticket 확인증_66016630.pdf.scr’ 파일이 나타난다. 공격자는 다양한 발신 이메일 주소로 해당 메일을 배포하면서 차단과 추적을 어렵게 만들고 있다.

항공권 이용안내 메일로 위장한 악성메일 화면 [사진=이스트시큐리티]

악성파일이 실행되면 특정명령제어(C2) 서버로 통신을 하면서 추가 악성코드를 자동으로 다운로드하고 실행하는 형태다.

ESRC는 공격에 사용된 악성코드를 분석한 결과 상반기 한국기업의 AD서버를 대상으로 클롭(Clop) 랜섬웨어를 유포한 ‘TA505’ 조직이 위협 배후에 가담하고 있는 것으로 의심된다고 설명했다.

‘TA505’ 조직은 지난달에도 ‘송금증 $114.36’라는 내용의 악성메일을 한국에 다량 전파한 이력이 있다. 기존에는 주로 ‘XLS’, ‘DOC’ 문서파일의 매크로를 활용했지만 이번에는 압축파일 내부에 PDF 문서파일로 위장한 실행파일을 사용한 점이 특징이다.

악성코드에 감염될 경우 공격자가 지정한 특정명령제어(C2) 서버와 통신하면서 공격자가 감염된 PC를 원격지에서 제어권한을 탈취할 수 있으며 추가 악성코드 설치도 가능해져 주의가 요구된다.

문종현 ESRC 센터장은 “위협 배후로 추정되는 TA505 조직은 한국의 불특정 다수 기업을 대상으로 맞춤형 해킹 이메일을 유포한 후 다단계 내부 침투를 통해 클롭 랜섬웨어를 유포했던 러시아 기반 추정의 고도화된 사이버 범죄조직”이라며 “사회공학적 기법과 유창한 한글로 현혹한 악성메일을 유포하고 있어 위협에 노출되지 않도록 각별히 주의해야 한다”고 경고했다.

김진수 기자  embe@itbiznews.com

<저작권자 © IT비즈뉴스-아이티비즈뉴스, 무단 전재 및 재배포 금지>

김진수 기자의 다른기사 보기
icon인기기사
Back to Top