일본어로 된 피싱 캠페인 발견...최종 목적은 이모텟 다운로더를 퍼트리는 것
다양한 유형의 악성 문서를 통해, 여러 가지 바이러스 퍼지는 것도 목격돼[보안뉴스 문가용 기자] 신종 코로나 바이러스(일명 우한 폐렴)가 확산됨에 따라 전 세계 보건 문제를 우려하는 목소리가 커지고 있다. 하지만 일부 사이버 공격자들은 이 상황을 기회로 삼으려고 하고 있다고 IBM의 엑스포스(X-Force) 팀과 카스퍼스키(Kaspersky) 팀이 경고했다.
[이미지 = iclickart]
IBM 엑스포스 팀이 발견한 바에 의하면 ‘신종 코로나바이러스 감염 예방 법’이 담긴 것처럼 꾸며진 피싱 이메일들이 대량으로 전파되는 중이라고 한다. 당연히 이 가짜 이메일에는 사이버 바이러스가 숨겨져 있으며, 최종적으로 피해자의 시스템에 전파되는 멀웨어는 이모텟(Emotet)이라고 한다.
이 악성 이메일의 대부분은 일본어로 작성되어 있다고 엑스포스 팀은 발표했다. 공격자가 일본어 구사자 혹은 일본 영토 내 거주자를 노리고 캠페인을 실시하고 있다는 뜻이다. “현재까지 아시아 지역에서 감염이 집중되어 있다는 것을 공격자가 악용한 것으로 보입니다. 이메일의 제목에는 현재 날짜와 ‘알림’, ‘긴급’과 같은 단어가 일본어로 작성되어 있기도 합니다.”
이를 분석한 엑스포스 팀은 “이메일이 일본의 장애인 복지 단체에서 보낸 것처럼 위조되어 있으며, 코로나 바이러스가 일본 기후 현에서 발생했다는 거짓 정보가 담겨져 있다”고 덧붙이기도 했다. 그 외 오사카나 돗토리 지역을 언급한 피싱 메일도 발견됐다. 메일 하단에는 보건 관련 기구의 메일 주소, 전화번호, 팩스 번호가 첨부되어 있어 메일이 더 그럴 듯하게 보이기도 한다.
“이모텟이 심긴 일본어 악성 메일은 이전에도 발견된 바 있습니다. 그 때는 기업의 지불이나 인보이스, 영수증과 같은 문서를 첨부한 메일의 형태를 취했었습니다. 이는 일본 이모텟 메일 캠페인 직전 유럽에서 발생한 이모텟 캠페인의 영향을 받은 것이었죠. 이번에는 일본 이모텟 공격자들이 꽤나 독창적으로 움직인 것이라고 볼 수 있습니다. 게다가 현재 아시아의 분위기를 감안하면 더 성공적일 수도 있겠습니다.” 엑스포스 팀이 보고서를 통해 밝힌 내용이다.
이메일에 속은 사용자가 첨부된 문서를 다운로드 받아 열 경우, 오피스 365 메시지가 화면에 나타난다. 제대로 내용을 열람하려면 특정 기능(매크로)을 활성화 해야 한다는 내용이다. 피해자가 이에 응할 경우 난독화 처리 된 VBA 매크로 스크립트가 실행되며 파워셸(PowerShell)이 열리고, 이모텟 다운로더가 배경되서 설치된다. “사실 코로나 바이러스를 테마로 사용했다는 것 외에는 기존 이모텟 캠페인과 다를 게 거의 없습니다.”
한편 카스퍼스키도 코로나 바이러스를 테마로 한 새로운 악성 캠페인을 발견했다. “악성 파일이 첨부된 이메일이 사용된 건 (엑스포스가 발견한 이모텟 캠페인과) 동일합니다. 다만 PDF, MP4, DOC 파일 등 다양한 형태로 퍼지고 있다는 것과, 코로나 바이러스와 관련된 동영상 자료가 첨부되어 있다는 식으로 사람들을 꼬드긴다는 게 약간의 차이입니다.”
또, 이 캠페인의 경우 실제 피해자들의 시스템에 퍼지는 건 이모텟이 아니다. “여러 종류의 트로이 목마와 웜이 퍼지고 있습니다. 데이터를 파괴하거나, 차단하는 유형도 있고, 복제하거나 조작하는 유형도 있습니다. 따라서 피해도 다양하게 발생합니다. 사업이 마비되거나, 데이터가 유출되는 것이 대표적이죠.”
카스퍼스키는 “현재 신종 코로나 바이러스의 확산 속도는 2003년의 사스를 넘어선 상태”라며 “앞으로 코로나 바이러스나 우한 폐렴이라는 단어를 미끼로 사용하는 사이버 공격이 한 동안 이어질 것으로 예상한다”고 말하기도 했다. “사태가 호전될 때까지 많은 사람들의 염려와 걱정이 있을 예정입니다. 이를 사이버 공격자들은 ‘기회’로 받아들일 것이 뻔하죠.”
IBM의 엑스포스 팀도 비슷한 의견이다. “이모텟 공격자들이 비슷한 공격을 더 거세게 이어나갈 것으로 보입니다. 일본을 넘어 다른 아시아 국가들로 공격 대상을 바꿀 가능성이 높습니다. 사이버 공격자들이 인간의 본능적 공포심을 자극하는 걸 공격 도구로 활용하는 건 흔히 있는 일이죠.”
사이버 공격자들의 이러한 행위는 이미 과거에도 수차례 발견된 것이다. 월드컵과 같은 전 지구적인 행사가 열리면, 올림픽을 테마로 한 공격 빈도수가 솟구친다. 환경 문제가 대두될 때는 그와 관련된 테마의 인기가 높아진다. “크리스마스, 연말연시 등 전 세계 공통이다시피 한 기념일들도 좋은 표적이 됩니다.”
3줄 요약
1. 코로나 바이러스를 테마로 한 피싱 공격, 크게 두 가지가 발견됨.
2. 하나는 일본어로 된 악성 문서를 통해 이모텟을 퍼트리는 공격.
3. 다른 하나는 여러 유형의 악성 문서를 통해 다양한 바이러스를 퍼트리는 공격.
[국제부 문가용 기자(globoan@boannews.com)]
[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=86122&page=1&mkind=1&kind=1]
