최근, 중동호흡기증후군(MERS) 바이러스를 이용한 피싱 메일이 일본 대중 언론사에 전파되고 있는 것으로 확인됐다. 공격자는 무료 야후 메일 계정을 사용해 스팸메일 탐지 시스템을 우회한 후 인터넷에서 공개된 MERS 관련 정보를 사용자에게 전송해 클릭을 유도한다.
 
피싱 메일에는 CHM_ZXSHELL.B 파일, 윈도 보조파일을 포함한 압축파일이 저장되어 있으며, 메르스 관련 웹페이지를 저장한 내용이 담겨져있다. 또한 .CHM 파일을 클릭하면 백도어 파일 ZXShell을 배포하며, 백그라운드에서 실행된다.

 
트렌드마이크로가 수집한 정보에 의하면, 언론사와 연예기획사 네트워크에는 대량의 기밀자료가 존재하기 때문에 해커들의 공격 타깃이 되었다.
 
소니(SONY) 영화사 공격사건에서 공격자는 SONY 직원들의 개인정보뿐만 아니라 미상영 영화 관련 영상도 절취했으며, SONY 고위층인사들의 연봉내역까지 공개했다. 이밖에 언론사와 연예기획사는 해커들이 자신들의 홍보도구로 이용하고 있다. 얼마 전, 프랑스 방송국 TV5Monde 커뮤니티 계정이 해킹된 사건이 발생했는데 모두 이슬람국(ISIS) 홍보 도구로 이용되었다.
 
7z파일에 포함된 .CHM 내용에 MERS 관련 정보가 담겨있다.
 
이번 사건에서 .CHM파일이 ZXShell(BKDR_ZXSHELL.B)이라는 백도어를 배포하며, 감염된 PC에 남아 공격자가 전송하는 명령을 수행한다. 공격자는 해당 백도어를 이용해 민감한 데이터를 절취할 수 있다.
 
CHM 파일은 네트워크 공격에서 흔히 사용되는데 그 이유는 윈도 보안조치를 쉽게 우회하기 때문이다.
 
비록 CHM 파일이 CryptoWall 소프트웨어에서도 사용될 만큼 이용범위가 넓어지고 있지만 지정된 타깃 공격과정에서는 처음으로 이용된 것이다.
(뉴스제공. 국내 최대 중국 해킹 보안 정보 서비스 기업 씨엔시큐리티 / www.cnsec.co.kr)
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com