정보보안 스터디 - 26주차 7일 - 납세시기, 회계법인 노리는 해커들

원문 https://www.bleepingcomputer.com/news/security/microsoft-phishing-attack-targets-accountants-as-tax-day-approaches/

 

납세하는 시기를 맞아 당연하게도 피싱 이메일 공격이 늘어나고 있습니다.

미국 MS는 경고하고 있습니다.

회계법인이나 세무 대리인(회계사)의 네트워크 RCE 초기 침투를 해서 고급 고객의 정보들을 유출시키는 malware를 설치하도록 노력하고 있습니다.

 

회계사들이 분주해지는 시기이기 때문에 세금관련해서 납세 고객의 이메일 문서를 빨리 읽으려고, 파일을 빨리 받으려고 합니다. 따라서 조심성없이 열어버리는 실수를 범할 수 있기에 너무 해커가 접근하기가 쉽죠. 

 

 

 

 

pdf 파일인 줄 알았지만 파워쉘로 연결하는 .lnk 파일이며 (lnk 파일의 이점은 백신 탐지도 안되고 잘보지 않는다면 바로 실행할 수 있습니다.) 디테일하게 보지 않는다면 구분하기 어렵습니다. 따라서 기본적으로 디테일로 보이도록 설정합니다.

 

 

파워쉘은 외부 호스트로 VBS file를 다운받아오고 C:\Windows\Tasks\ 에 저장되며 실행됩니다.

VBS파일은 GuLoader malware를 다운받으며 최종적으로 

잘 알려져있는 Remcos RCE 트로이 목마를 설치합니다.

 

 

이렇게 회계법인이나, 법무법인는 중소기업으로써 보안이 제대로 되어 있지 않으며 고객정보에 대한 관리가 소홀합니다. 

 

MS에서 확장자를 처음부터 공개해놓지 왜 이렇게 만들어놨을까? 생각해봤는데 매크로 해킹도 그렇고 국가의 첩보 행위를 위해 여지를 남겨주어야겠다는 생각을 했습니다.

>> 보안적으로는 정말 바꾸는 게 맞는데 특히 OT win2003에서 10으로 바꿨는데 수력발전소가 멈춘다면 굳이 안하는 게 맞다고 생각하는 추세입니다. 그 ms분들도 나름의 이유가 있겠고, 하나의 업데이트를 했을 때 피해가 막중할 수 있기 때문에 더 고민이 많을 듯합니다.

 

 

누가보냈는지 확실치않으면 이메일 파일을 열지 않아야 합니다.