Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향트릭봇 악성코드 전송을 위해 해킹된 Subway 마케팅 시스템
작성일 2020-12-14 조회 177

지하철 피싱

 

영국 Subway는 마케팅 캠페인에 사용된 시스템이 해킹되어 어제 고객들에게 악성코드가 포함된 피싱 이메일이 보내진 것에 대한 책임이 있다고 밝혔다.


어제부터 Subway UK 고객들은 'Subcard'로부터 Subway 주문 건에 대한 이상한 이메일을 받았다. 이메일에는 주문 확인이 포함된 것으로 알려진 문서로 연결되는 링크가 포함됐다.

 

Subway UK 피싱 이메일

[그림 1. Subway UK 피싱 이메일]

 


이 피싱 이메일을 분석한 결과, 메일을 통해 최신 버전의 TrickBot 악성 코드를 설치하는 악성 Excel 문서를 배포하고 있는 것으로 드러났다.


TrickBot은 공격자가 저장된 브라우저 암호를 훔치고, 네트워크를 통해 확산하며, 브라우저 쿠키를 도용하고, RDP, VNC 및 PuTTY 자격 증명을 도용할 수 있는 악의적인 악성 코드다.


더 나쁜 것은, 트릭봇이 결국 Ryuk나 Conti 랜섬웨어 작업에 대한 접근을 제공할 수도 있다는 것이다.


이 이메일들은 고객의 이름이 포함되어 있고 일부 사용자들이 Subway 전용으로 만든 이메일 주소를 사용하고 있었기 때문에 Subway가 침해당한 것이 아니냐는 의심을 불러일으켰다.


어제 BleepingComputer가 Subway에 피싱 캠페인에 대해 연락했을 때, 그들의 이메일 시스템에 어떤 종류의 'disruption'이 있다는 것을 암시하는 답변을 받았다.


Subway 대변인은 BleepingComputer에 "우리는 이메일 시스템에 약간의 장애가 있다는 것을 알고 있으며, 일부 고객이 승인되지 않은 이메일을 받았다는 것을 알고 있다. 우리는 현재 그 문제를 조사하고 있으며 불편함을 사과한다. 더 많은 정보를 수집하는 즉시 연락을 드리겠다. 이메일을 삭제하는 것이 예방책"이라고 말했다.

 

 

Subway confirms a hacked server used in attack


Subway 시스템에서 보이는 'disruption'에 대한 이메일을 여러 번 보낸 후, 그 회사는 그들의 이메일 캠페인을 담당하는 서버가 피싱 이메일을 보내기 위해 해킹당했다고 밝혔다.


"문제를 조사한 결과, 게스트 계정이 해킹당했다는 증거가 없다. 하지만, 우리의 이메일 캠페인을 관리하는 시스템이 손상되어, 이름과 이메일이 포함된 피싱 캠페인으로 이어졌다. 시스템에는 은행이나 신용카드 세부내역이 전혀 들어 있지 않다고 말했다.


또한 Subway는 "Crisis 프로토콜이 시작되었고 손상된 시스템이 잠겼다. 손님들의 안전과 개인 데이터의 안전이 최우선 사항이며 이로 인해 불편을 끼쳐 죄송하다"고 밝혔다.


Subway는 또 이번 공격으로 고객의 이름이 노출됐다는 내용의 이메일을 피해 고객에게 발송하기 시작했다.

 

공격에 관한 Subway UK 이메일 공개

[그림2. 공격에 관한 Subway UK 이메일 공개]

 


이 이메일을 받고 실수로 악의적인 Excel 문서를 연 경우, 작업 관리자를 열고 'Windows 문제 보고'라는 이름의 프로세스를 찾아 트릭봇의 현재 버전을 확인할 수 있다. 해당 프로세스가 발견되면 아래 빨간색 화살표에 표시된 대로 'End Task(작업 종료)' 버튼을 클릭하여 종료한다.

 

Windows 문제보고 프로세스 종료

[그림3. Windows 문제보고 프로세스 종료]

 

이제 백신 소프트웨어를 사용하여 컴퓨터를 철저히 검사하고 발견된 모든 항목을 치료해야 한다.


Bleefling Computer는 얼마나 많은 사람이 영향을 받았는지 그리고 그 서버에 다른 고객 정보가 저장되어 있는지 알아보기 위해 다시 한번 Subway에 연락했지만, 아직 답변이 오지 않은 상태라고 한다.

 

 

출처
https://www.bleepingcomputer.com/news/security/subway-marketing-system-hacked-to-send-trickbot-malware-emails/

첨부파일 첨부파일이 없습니다.
태그 Subway  TrickBot