항공권 이용안내 메일로 위장한 악성 이메일 화면/사진제공=이스트시큐리티이스트시큐리티 산하 시큐리티대응센터(ESRC)는 국내 항공사의 전자 항공권 티켓(e-티켓) 확인증으로 위장한 해킹 이메일이 다수 유포되고 있다고 25일 밝혔다.
이번 공격은 한국어로 작성된 ‘**항공 e-티켓 확인증입니다’라는 제목의 이메일에 악성 파일을 첨부해 사용자를 현혹하고 있다고 ESRC 측은 설명했다. 공격자는 발진시 이메일 주소를 다양하게 만들어 차단과 추적을 어렵게 만들었다.
이메일에 첨부된 압축 파일 ‘e-Ticket 확인증_95291015.iso’를 해제하면 아이콘과 확장자명을 PDF 문서로 위장한 ‘e-Ticket 확인증_66016630.pdf.scr’ 파일이 나타난다. 악성 파일이 실행되면 특정 명령 제어(C2) 서버로 통신해 추가 악성 코드를 다운로드하고 실행하게 만든다. 악성코드에 감염되면 공격자가 감염된 PC를 원격으로 제어할 수 있게 된다.
ESRC는 공격에 사용된 악성 코드를 분석한 결과 올해 상반기 한국 기업의 AD서버를 대상으로 랜섬웨어를 은밀하게 유포한 러시아 기반 추정의 ‘TA505’ 조직으로 의심하고 있다.
문종현 ESRC센터장은 “위협 배후로 추정되는 TA505는 고도화된 사이버 범죄조직”이라며 “사회공학적 기법과 유창한 한글로 현혹하는 악성 이메일을 유포하고 있어 유사 보안 위협에 노출되지 않도록 각별히 주의해야 한다”고 강조했다.
