2024-03-29 18:10 (금)
[긴급] APT 공격용 국회의원 위장 악성 한글문서 유포…주의!
상태바
[긴급] APT 공격용 국회의원 위장 악성 한글문서 유포…주의!
  • 길민권
  • 승인 2012.07.12 07:59
이 기사를 공유합니다

열람시 악성코드 설치…공격정보 보내져 APT 공격에 활용 가능
국회의원으로 위장한 한글 악성문서가 유포되고 있으며 이를 열어 볼 경우 정부기관이나 기업 PC에 악성코드가 설치되고 이를 통한 APT 공격이 가능한 상황이라 주의를 기울여야 한다.  
 
하우리(대표 김희천 www.hauri.co.kr)는 정부부처를 겨냥해 국회의원으로 위장한 한글 악성 문서가 유포되었다고 11일 밝혔다.

 
해당 문서는 ‘민주평통자문회의.hwp’이란 첨부파일로 메일을 통해 발송되었고 사용자가 열람할 경우 ‘한반도의 평화 정착과 공동 번영을 위하여’라는 정상문서가 열리면서 악성코드가 실행되어 감염된다.
 
해당 악성코드에 감염되면 ▷사용자 PC 이름 ▷사용자 IP Adress ▷프록시(Proxy) 정보 ▷윈도우 운영체제 정보 ▷실행중인 프로세스의 고유번호(PID)와 모듈경로 정보 ▷특정 파일 업로드, 다운로드 ▷C&C 서버 접속 등의 악의적인 행위가 실행된다.
 
<악성코드 정보>
- 민주평통자문회의.hwp : HWP.Exploit.Gen.A
- scvhost.exe : Dropper.S.Agent.138752
- wdmaud.drv : Backdoor.Win32.S.Agent.78848.R
 
<수집된 정보 유출지>
www.○○○hospital.com
 
김정수 하우리 보안대응센터 센터장은 “최근 몇몇 후보의 대선출마 선언으로 인해 대권경쟁이 본격화되면서 정치권의 관심이 대두되는 가운데, 이를 이용해 악성코드를 제작하고 유포되는 사례가 빈번히 접수되고 있다”며 “홈페이지 관리 및 서버 보안에 더욱더 신경을 써야 한다”고 주의를 당부했다.
 
또 “최근 시도된 APT 공격은 빈번하게 발생하고 있으며 정부기관이나 특정조직을 겨냥해 감염될 경우 치명적인 피해가 초래될 수 있다”며 “이슈화 되고 있는 뉴스나 사용자 호기심을 자극해 열람을 유도하기 때문에 누구나 쉽게 감염될 수 있다. 또한 첨부된 한글파일은 정상 문서가 보여지기 때문에 백신 프로그램이 설치되어 있지 않거나 탐지하지 못하는 악성코드라면 사용자는 감염여부 조차 알 수 없다”고 경고했다.
 
최근 하우리에서 발견한 1개월간의 APT 공격 탐지 현황을 보면 다양하다. 주의를 기울여야 한다.
-6월 15일 – 2012년 통일정책 토론회.hwp
-6월 20일 - 북핵해결 3대 전략.hwp
-6월 27일 – 국방융합기술.hwp
-7월 6일 – 국방시스템공학과.hwp
-7월 11일 – 민주평통자문회의.hwp
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★