보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

이번엔 HTML! 클롭 랜섬웨어 이메일 공격 기승

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2019-06-26

국내 기업을 타깃으로 유포되는 클롭(CLOP) 랜섬웨어가 파일 형태를 지속적으로 변경하는 가운데, 최근에는 HTML 파일로 위장한 형태가 증가하고 있다. 이메일에 첨부된 HTML 파일을 클릭할 때 각별한 주의가 필요하다. 

  

 

 

안랩 시큐리티대응센터(이하 ASEC)에 따르면 클롭 랜섬웨어는 올해 초 이메일에 엑셀(xls) 파일 을 첨부하여 유포되었으며, 5월말 경부터 스크립트(HTML)을 첨부하는 방식으로 변화했다. 또한 6월에는 HTML 파일의 다양하게 변화시켜 유포 중인 것으로 파악되었다. 

 

최근 발견된 클롭랜섬웨어는 계약서, 견적서, 국세청 등 기업 사용자의 관심을 끄는 내용으로 위장했으며, [그림 1]과 같이 서명까지 추가하는 등 정교하게 제작된 이메일을 통해 유포되고 있다. 

 

  

[그림 1] HTML 첨부 파일을 이용한 클롭 랜섬웨어

 

특히 공격자는 HTML 실행했을 때 ▲ 악성 엑셀 다운로드 경로로 리다이렉션 ▲HTML 문서에 한글로 타이틀 작성 ▲ HTML 문서에 URL이 아닌 애미(Ammyy) 악성코드를 다운로드하는 엑셀 객체 포함 등 다양한 방법을 시도하고 있다.  

 

[표 1] 클롭 랜섬웨어의 HTML 유포 방식 변화 

 

  

[그림 2] HTML 문서에 한글로 타이틀을 작성한 클롭 랜섬웨어

 

ASEC 분석팀 한명욱 연구원은 “최근 HTML 첨부파일을 이용한 클롭 랜섬웨어의 공격이 계속 시도되고 있을 뿐만 아니라 그 수법도 다양하고 정교해져 사용자들의 각별한 주의가 필요하다”고 말했다. 그러나 “공격자가 클롭 랜섬웨어의 유포 방식을 HTML으로 완전히 전환한 것은 아니다”라며 “동일한 날짜에 엑셀, 문서 내 하이퍼링크, HTML 등을 이용한 공격도 확인된 만큼 공격자가 악성코드 유포를 위해 다양한 방식을 사용하고 있다고 해석하는 것이 적절하다”고 설명했다.  

 

클롭 랜섬웨어는 중앙 관리 서버에 침투한 후 관리 서버에 연결된 시스템에 악성코드를 삽입 및 감염시킨다. 즉, OS 정보, 권한, 사용자 이름, 컴퓨터 이름 등의 기본 정보를 획득해 사용자의 PC에 대한 원격 제어를 가능하게 하며, 이를 통해 내부 시스템을 지속적으로 침해할 가능성이 높다. 따라서 클롭 랜섬웨어에 감염되지 않도록 주의해야 하며, 기업 내 중요 데이터는 오프라인 백업을 해둘 것을 권장한다. 

 

클롭 랜섬웨어에 관한 보다 자세한 내용은 ASEC 블로그에서 확인할 수 있다. 

► ASEC 블로그 바로 가기 

  • AhnLab 로고
  • 분석팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.