2024-03-29 14:40 (금)
국내 북한관련 대학교수 표적 공격 포착…한글 파일에 악성코드 심어 유포
상태바
국내 북한관련 대학교수 표적 공격 포착…한글 파일에 악성코드 심어 유포
  • 길민권 기자
  • 승인 2017.08.31 12:47
이 기사를 공유합니다

<문재인 정부의 탈핵선언을 비판한다>는 한글 파일로 타깃 공격

▲ 악성코드 유포 도식도. 하우리 제공.
▲ 악성코드 유포 도식도. 하우리 제공.
국내 북한관련 인사를 타깃으로 사용자 정보와 중요자료를 탈취하는 악성코드가 유포중인 정황이 포착됐다. 각별한 주의가 필요하다.

이번에 발견된 악성코드는 모 대학의 정치학 교수를 겨냥해 이메일을 통해 악성 한글 문서의 다운로드 링크가 포함된 형태로 유포되었다.

특히 이번 공격은 “문재인 정부의 탈핵선언을 비판한다.hwp” 라는 첨부파일을 포함한 이메일을 정치학과 교수에게 전송하는 등 정확한 타깃이 정해진 표적형 공격이다.

▲ 북한 관련 인사인 정치학 교수에게 발송된 해킹 메일. 하우리 제공.
▲ 북한 관련 인사인 정치학 교수에게 발송된 해킹 메일. 하우리 제공.
수신자와 관련된 내용을 포함해 사용자로 하여금 아무 의심 없이 첨부 파일을 실행하도록 설계되어있다.

또한 이번에 발견된 한글 악성코드는 일반 첨부파일이 아닌 대용량 파일을 통해 전송되었다.

대용량 파일 전송은 메일에 실제 파일이 첨부된 것이 아닌 링크가 남겨져 있는 것으로 사용자가 링크를 클릭해야 메일 서버에서 다운로드하는 방식이다.

이런 유포 방식은 실제 악성 파일이 이메일에 첨부되어 있지 않아 백신프로그램 및 보안솔루션에서 탐지가 어렵다.

해당 악성 한글 파일을 실행하면 포함된 “EPS” 파일을 처리하는 과정에서 취약점이 발생하여 국내 웹사이트에 업로드된 악성코드(“head*.jpg”)를 다운로드한다.

다운로드된 악성코드는 추가로 악성 바이너리(“tail*.jpg”)를 다운로드한 후 복호화하여 메모리에서 실행시킨다.

이후 실행된 악성 바이너리는 감염된 사용자의 PC의 주요파일들을 압축하여 클라우드 서버로 전송한다.

특히 이번에 사용된 악성 한글 파일 제작자는 취약점에 사용하는 쉘코드를 변형하여 백신들의 탐지를 우회하고 있다.

이러한 악성 한글 파일은 “문재인 정부의 탈핵선언을 비판한다.hwp” 이외에도 “개성공단 재개 절대 안되는 8가지 이유.hwp” 등 타깃이 된 사용자의 맞춤형으로 첨부파일을 제작하는 것으로 확인 되었다.

하우리 보안대응팀 주은지 연구원은 “올 초부터 ‘남북 재래식 무기비교’, ‘5대 악성 사이버 범죄 피해예방수칙’ 등의 이름으로 국내 사용자들을 타깃으로 한 표적형 공격이 많이 포착됐다”고 전했다.

또한 “이번에 사용된 악성 한글 파일의 제작자는 올 초 국내에 유포되었던 악성코드의 제작자와 동일한 것으로 추정된다”며 “과거 국내를 표적으로 한 해킹 단체의 공격이 한층 발전해 다시 재개한 것으로 보이기 때문에 사용자들은 운영체제의 보안패치와 백신 프로그램을 최신 업데이트로 유지하는 등의 대비가 필요하다”고 덧붙였다.

또한 이스트시큐리티 시큐리티대응센터(ESRC) 분석 결과를 내놨다. 문서 파일 변조에는 기존 많은 사이버 공격자들이 활용해 왔던 △’포스트스크립트’와 △’고스트스크립트’의 취약점을 활용한 것으로 나타났다.

▲ 동일인이 제작한 것으로 추정되는 '개성공단 재개 반대 내용' 악성 문서 파일. 이스트시큐리티 제공.
▲ 동일인이 제작한 것으로 추정되는 '개성공단 재개 반대 내용' 악성 문서 파일. 이스트시큐리티 제공.
센터 측은 “현재 특정 웹 서버를 통해 유포되던 추가 악성 파일이 삭제돼 위협이 추가적으로 확산되지 않을 것으로 보이나, 이와 유사한 공격이 계속 이어질 수 있다”라며, “공격자가 사용한 포스트, 고스트스크립트 취약점을 활용한 공격은 한컴 오피스 최신 보안 업데이트를 통해 감염을 예방할 수 있으니, 반드시 업데이트를 진행해둬야 한다”고 당부했다.

또 “실제로 지난 8월 27일 동일인이 제작한 것으로 추정되는 ‘개성공단 재개 반대 내용’의 악성 한글 문서 파일도 어제 발견돼, 유사한 공격을 통한 보안 위협이 지속될 가능성이 큰 것으로 관측된다”고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★