check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

[주의] 가상화폐 거래소 해킹 비상…거래소 관계자 대상 스피어피싱 공격 기승

한글문서 이력서로 위장해 메일 발송…감염시 원격제어 공격 가능해

길민권 기자 mkgil@dailysecu.com 2017년 12월 05일 화요일

B-1.jpg
▲ 가상화폐 거래소 관계자에게 발송된 입사 지원서. 스피어 피싱 공격을 위해 발송된 이력서다. 이스트시큐리티 제공. 
가상화폐 거래소가 해킹공격의 주요 타깃이 되고 있다. 비트코인 거래를 할 수 있는 특정 가상화폐 거래소 관계자를 대상으로 한 다양한 사이버범죄 시도가 꾸준히 발견되고 있기 때문이다. 관련 기업들의 보안강화가 필요한 상황이다.

최근 마치 정상적인 채용관련 문의와 입사 지원서로 위장한 스피어피싱 공격이 추가로 발견되고 있다.

공격자는 한메일 서비스를 이용했으며 수신자 역시 한메일을 쓰는 이용자다. 수신자는 가상화폐 관련 사이트와 SNS 등에서 활동하는 것이 다수 확인됐다.

공격자가 사용한 'alosha'라는 계정은 그동안 여러차례 한국의 가상화폐 관련 사용자를 대상으로 꾸준히 공격하는데 사용된 바 있다.

이메일 본문에는 일반적인 입사지원 문의 내용을 포함하고 있으며 한컴의 문서파일인 HWP 파일 형식의 이력서가 포함되어 있다. 해당 HWP 문서파일을 열람하면 이력서 화면이 정상적으로 보인다.

▲ HWP 문서에 포함된 'BIN0002.ps' 스크립트 디코드 화면. 이스트시큐리티 제공.
▲ HWP 문서에 포함된 'BIN0002.ps' 스크립트 디코드 화면. 이스트시큐리티 제공.
하지만 이 HWP 파일에는 'BIN0002.ps' 포스트 스크립트(Post Script) 코드가 바이너리 데이터에 포함되어 있고, Zlib 형식으로 인코딩된 데이터를 디코딩하면 내부에 악의적인 포스트 스크립트가 포함된 것을 알 수 있다.

악의적인 스크립트 코드가 정상적으로 실행되면 해외의 특정 명령 제어 서버(C&C) 3곳(일본 1곳, 미국 2곳)으로 통신을 시도한다. 만약 정상적으로 통신이 이뤄지면 감염된 이용자의 정보가 유출 된다. 또한 공격자의 명령에 따라 추가적인 악성 프로그램이 설치되어 원격제어 등의 공격이 진행될 수 있다.

이스트시큐리티 시큐리티대응센터 측은 “이러한 표적공격의 위협에 노출되지 않기 위해서는 문서작성 프로그램 등을 항상 최신 보안업데이트로 설치해야 하고 입사지원서나 문의관련 메일의 경우도 각별한 주의가 필요하다”며 “알약에서는 이런 종류의 악성파일을 Exploit.HWP.Agent 탐지명 등으로 탐지하고 있다”고 설명했다.

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록