2024-03-29 00:45 (금)
파이어아이, 몽골 정부 관계자 대상 스피어 피싱 공격 포착
상태바
파이어아이, 몽골 정부 관계자 대상 스피어 피싱 공격 포착
  • 길민권 기자
  • 승인 2017.03.15 13:28
이 기사를 공유합니다

▲ 매크로를 실행하게끔 유도하는 메시지
▲ 매크로를 실행하게끔 유도하는 메시지
파이어아이(지사장 전수홍)는 최근 몽골 정부 관계자를 대상으로 한 스피어 피싱 공격을 포착했다고 밝혔다.

공격 대상이 된 몽골 정부 관계자는 악성워드문서가 첨부된 스피어 피싱 메일을 받았다. 첨부파일은 웹메일에 로그인하는 방법 혹은 입안 정보를 가장한 악성워드문서였으며, 공격자들은 소셜 엔지니어링 수법을 이용해 사용자들이 워드 문서에 있는 매크로를 실행하도록 유도했다. 실제로 악성첨부문서를 열면 문서를 보기 위해서는 매크로를 실행시키라는 메시지가 뜬다.

사용자가 매크로를 실행시키면시스템은 원격 제어 악성코드(RAT)인 포이즌 아이비(poison ivy)에 감염된다. 해당 RAT는 지난 10년 간 스크린 및  동영상 캡쳐, 파일 전송, 비밀번호 탈취, 트래픽 지연 등을 위해 악용된 악명 높은 악성코드다.

이번 스피어 피싱 공격 중 주목할 만한 기법은 다음과 같다.

▲피해 시스템의 프로파일에 맞추어 우회-타깃 시스템에 적용되는 앱락커(AppLocker) 어플리케이션 화이트리스팅(신뢰할 수 있는 접근에 대한 허용)을 우회하는 공개되어 있는 기술을 이용했다.

▲파일리스(Fileless) 실행 및 지속성-공격자는 실행 파일을 디스크에서 작성하지 않음으로써 보안 솔루션의 탐지 및 포렌식 검사를 우회했다. 파이어아이가 관찰한 바에 따르면, 공격자들은 개별 파일에 페이로드를 작성하지 않고 파워쉘(PowerShell) 스크립트의 4 단계를 사용했다.

▲미끼 문서-이번 공격은 사용자의 의심을 최소화하기 위해 인터넷에서 정상 문서를 다운로드하고 별도의 MS워드 인스턴스에서 이를 실행하기 위해 파워쉘을 사용했다.

전수홍 파이어아이 코리아 지사장은 “개별 사용자를 노리는 스피어 피싱 공격이 전 세계적으로 증가하고 있다. 스피어 피싱 공격으로 인한 피해를 방지하기 위해서는 출처가 불분명한 메일의 첨부파일을 함부로 열어 보지 않고 의심스러운 링크 역시 클릭하지 않는 등 기본적인 보안 수칙을 지켜야 한다”며 “그러나 보안 수칙을 철저하게 지키더라도 이러한 공격을 완벽하게 방어하는 것은 어렵다. 오늘날의 스피어 피싱 공격은 매우 정교해서 사용자가 메일함 내 존재하는 10개 중 9개의 공격을 식별해낼 수 있다고 하더라도 결국에는 피해자가 될 수 있다. 공격자는 단 한번의 공격만 성공하면 되기 때문이다. 특히 사이버 공격 위험이 증가하고 있는 가운데 국내 조직 및 개인은 이러한 공격을 탐지할 수 있는 정교한 기술을 확보해야 한다. 또한, 모든 산업 및 시민이 공격 대상이 될 수 있는 만큼 특정 조직만을 선별적으로 보호하기 보다는 모든 분야 및 시민들을 대상으로 한 공격에 대응할 수 있는 강력한 보안이 필요한 시점”이라고 말했다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★