전체기사 최신뉴스 GAM 라씨로
산업 ICT

속보

더보기

여름휴가시즌 ‘전자항공권 e-티켓’ 사칭 해킹메일 대량 유포

기사입력 : 2019년07월25일 11:32

최종수정 : 2019년07월25일 11:32

러시아 기반 추정 해킹조직 'TA505' 의심
한국어 악성 이메일 유포 중
이스트시큐리티 "항공권 사칭해 사용자 현혹"

[서울=뉴스핌] 김지완 기자 = 여름 휴가시즌을 맞아 '전자 항공권'을 통한 해킹 시도가 기승을 부리고 있다. 

시스템·응용 소프트웨어 개발·공급업체인 이스트시큐리티 시큐리티대응센터(ESRC)는 25일 국내 항공사의 전자 항공권 티켓(e-티켓) 확인증으로 위장한 해킹 이메일이 다수 유포되고 있어 각별한 주의와 보안 강화를 당부했다.

항공권 이용안내 메일로 위장한 악성 이메일 화면 2019.07.25. [자료=이스트시큐리티]

ESRC는 "이번 공격이 정교한 한국어로 작성된 '**항공 e-티켓 확인증입니다' 제목의 이메일에 악성 파일을 첨부해 사용자를 현혹하고 있다"고 밝혔다.

악성 이메일에는 'e-Ticket 확인증_95291015.iso' 파일명의 압축 파일이 첨부돼 있다. 압축을 해제하면 아이콘과 확장자명을 PDF 문서로 위장한 'e-Ticket 확인증_66016630.pdf.scr' 파일이 나타난다.

공격자는 발신지 이메일 주소를 다양하게 만들어 차단과 추적을 어렵게 만들고 있으며, 해당 악성 파일이 실행되면 특정 명령 제어(C2) 서버로 통신을 해 추가 악성코드를 다운로드하고 실행하게 만든다.

이메일에 첨부됐던 악성 코드에 감염될 경우 공격자가 지정한 특정 명령 제어(C2) 서버와의 은밀한 통신을 통해 공격자가 감염된 PC를 원격지에서 제어할 수 있게 된다. 아울러 추가 악성코드 설치도 가능해지는데, 특정 기업 내부 환경을 노려 맞춤형 랜섬웨어를 유포할 것으로 추정된다.

문종현 ESRC센터장 이사는 "위협 배후로 추정되는 'TA505' 조직은 한국의 불특정 다수의 기업을 대상으로 맞춤형 해킹 이메일을 유포한 후, 다단계 내부 침투를 통해 은밀하게 클롭 랜섬웨어를 유포했던 러시아 기반 추정의 고도화된 사이버 범죄조직"이라면서  "사회공학적 기법과 유창한 한글로 현혹한 악성 이메일을 유포하고 있어, 유사 보안위협에 노출되지 않도록 각별히 주의해야 한다"고 당부했다. 

한편 ESRC는 공격에 사용된 악성 코드를 분석한 결과, 올 상반기 한국 기업의 AD서버를 대상으로 클롭(Clop) 랜섬웨어를 은밀하게 유포한 러시아 기반 추정의 'TA505' 조직이 위협 배후에 가담하고 있는 것으로 의심하고 있다. 'TA505' 조직은 지난달에도 '송금증 $114.36'라는 내용의 악성 이메일을 한국에 다량 전파한 이력이 있다. 

swiss2pac@newspim.com

[뉴스핌 베스트 기사]

사진
尹대통령 지지율 45.3% 취임 후 또 최저치...이유는 [서울=뉴스핌] 송기욱 기자 = 윤석열 대통령의 국정수행 지지율이 45.3%로 2주 연속 하락하며 취임 후 최저치를 나타냈다.   여론조사 전문기관 알앤써치가 종합뉴스통신 뉴스핌 의뢰로 지난 25~28일 전국 만 18세 이상 성인 1037명을 대상으로 조사한 결과 윤 대통령의 지지율은 45.3%로 집계됐다. 이는 지난 조사 대비 2.3%p 하락한 수치다. 2022-06-29 06:00
사진
조유나양 부모 실종전 '99% 폭락 루나코인' 검색했다 [완도=뉴스핌] 전경훈 기자 = '제주 한 달 살기 체험'을 신청한 뒤 전남 완도에서 실종된 조유나(10) 양의 부모가 실종전 1주일 만에 99% 폭락한 루나 코인을 검색한 사실이 경찰 수사에서 확인됐다. 29일 광주 남부경찰서 등에 따르면 압수영장을 집행해 지난달 조양 부모의 포털사이트 활동 이력을 분석한 결과 루나 코인과 수면제·극단적인 선택을 암시하는 인터넷 검색을 한 내역도 파악됐다. 루나 코인 등을 검색한 시기는 조 양 일가족이 실종된 지난달 30일까지인 것으로 알려졌다. 2022-06-29 12:29
Top으로 이동