대학원 시절 연말이 되면 막바지 학술회의나 행사 참여 등으로 바쁜 시간을 보냈던 기억이 납니다. 특히 막내였던 1년차에는 참석 연락이나 관련 메일들을 처리하느라 정신이 없었죠. 아마 다른 분야에 계신 분들도 마찬가지로 생각되는데, 근래에는 외교 및 안보에 관련한 학술회의를 사칭하는 피싱 메일이 유행이라고 합니다.
특히 이와 관련 대상자들로 하여 실제 메일과 비슷한 컨텐츠로 사칭 메일을 보내는 경우가 있어서 조심해야할 것 같습니다. 예전에 설명드린 스피어피싱(Spear Phishing)을 통해 공격을 수행했는데, 오늘은 이 부분에 대해 간단히 말씀드려보도록 해보죠.
일단 이전 사칭 메일들과 조금 다른 점부터 설명드리면, 이번에는 피싱 사이트로 유도하는 URL이라든지 악성 문서가 첨부된 메일이 아닌 일정을 요청하는 문의 메일처럼 보냈다고 합니다. 최근에는 악성 메일 모의훈련을 통해 의심스러운 파일이나 URL이 있으면 바로 삭제하는 사용자들이 많아졌기 때문인 것 같은데요.
관련 대상자들에게 학술회의에 참여할 수 있는지 일정을 물어보는 메일이기에 의심 없이 열어보고, 회신을 하는 사람들에 한 해서 추가적인 메일을 보냈다고 합니다. 물론 해당 메일에는 아래의 이미지와 같이 PDF 문서처럼 보이는 LNK(바로가기 파일) 확장자를 가진 파일이 첨부되어 있죠.
기본적으로 윈도우 운영체제에서는 "알려진 확장자 숨기기" 옵션이 활성화 되어있기에, "문서.pdf.lnk"로 파일명이 되어있으면 lnk 확장자가 숨겨짐으로서 파일을 받으면 "문서.pdf"로 보이게 됩니다. 그렇기에 주의하시지 않으면 그대로 파일을 열어보실 가능성이 생기죠.
해당 바로가기 파일을 실행하게 되면, 해커의 서버와 통신을 하게 되고 기존 LNK 파일을 삭제하고 실제 PDF 파일로 바꿔치기하는 명령이 실행되는데요. 이와 동시에 사용자의 컴퓨터에서는 추가 명령어가 실행됨에 따라 시스템 환경과 내부 프로그램 정보 등을 조회해서 수집해가게 됩니다.
외교·안보 학술회의 토론주제 사칭한 북한 연계 해킹공격 주의 - 아이티데일리
[아이티데일리] 보안 전문 기업 이스트시큐리티(대표 정진일)는 남북 외교안보 학술회의 토론 주제와 발제문 요청처럼 위장한 북한 연계 해킹 공격이 등장했다며 각별한 주의가 요구된다고 2일
www.itdaily.kr
위에서 말씀드린 이중 확장자를 사용한 악성 첨부파일 사례는 이전에도 계속해서 설명드렸던 부분이기 때문에 어느 정도 인지하시고 계실 것으로 생각됩니다. 그래서 윈도우에서 "알려진 확장자 숨기기" 옵션을 비활성화해서 실제 확장자가 무엇인지 확인하는 습관을 길러야 한다고도 말씀드렸죠.
또한 메일의 첨부파일에서 확장자를 숨기기 위해 ZIP이나 RAR과 같이 압축하여 보내는 경우도 있으니, 바로 압축을 해제하지 말고 파일명을 유심히 살펴보시는 습관을 들여서 의심가시는 경우 바로 삭제하셨으면 합니다. 그럼 이번 글은 여기서 줄이도록 하죠. 감사합니다.
'Security Essay' 카테고리의 다른 글
| 2023년에도 빠르게 증가할 랜섬웨어 공격 추세 (0) | 2023.02.05 |
|---|---|
| 북한 개발자 위장 취업 활동으로 인한 IT 인력 채용 주의 (0) | 2023.02.03 |
| 보이스피싱 방지를 위한 심박스 차단 (0) | 2023.01.30 |
| 공공기관 문서중앙화 시스템을 이용한 악성 파일 차단 (0) | 2023.01.28 |
| 국내 공공기관 해킹을 선포한 중국의 해커조직 (0) | 2023.01.25 |
댓글