2024-05-19 07:45 (일)
국가 자문 기관 사칭한 악성코드 공격 주의...연구원 타깃 해킹 공격
상태바
국가 자문 기관 사칭한 악성코드 공격 주의...연구원 타깃 해킹 공격
  • 길민권 기자
  • 승인 2023.03.10 16:29
이 기사를 공유합니다

논문심사 의뢰 요청으로 APT 공격 시도
국가 자문 기관을 사칭한 악성 메일. 출처 하우리
국가 자문 기관을 사칭한 악성 메일. 출처 하우리

국가 자문 기관을 사칭해 주요 기관의 특정인을 대상으로 악성메일이 발송된 정황이 포착되어 주의가 필요하다고 10일 밝혔다.

해당 악성메일은 공신력 있는 국가 자문 기관을 사칭하여 국가 주요 연구기관의 특정 연구원에게 논문심사 의뢰를 요청하는 것으로 속여 메일 수신자가 악성코드에 감염되도록 제작되었다.

악성메일은 ‘[OOOO] 논문심사 의뢰드립니다.’ 라는 제목으로 발송되었으며, 메일 내용 또한 논문심사 의뢰 내용으로 전혀 어색한 부분없이 자연스럽게 기재되어 있어 수신자가 의심없이 악성메일을 열람하고 악성코드를 실행할 수 있다. 

또한 첨부된 악성파일을 열어 악성코드에 감염되더라도 PC에 특별한 증상이 노출되지 않기 때문에 감염 사실을 PC 사용자가 인지하기에는 쉽지 않다.

악성메일에 첨부된 ‘논문.zip’ 압축파일 내에는 파일이 압축되어 있고 압축파일에 포함된 윈도우 도움말 파일인 ‘2023-3-2.chm’ 파일을 열람하게되면 ‘X Click’ 함수를 통해 스크립트가 자동 실행된다. 악성 URL로부터 악성코드인 temp.vbs 파일이 다운로드 되어 동작하도록 제작되어 있다. 

‘2023-3-2.chm’ 파일 실행 시 백그라운드로 악성스크립트가 실행됨과 동시에 ‘정책결정자의 리더쉽이 한미동맹과 미일동맹에 미치는 영향’이라는 정상 논문이 출력되면서 메일 수신자는 악성코드 감염 사실을 더욱더 인지하기 어려워진다.

APT 공격 방법이 다양화되고 고도화되면서 윈도우 도움말(*.chm) 파일을 이용한 악성코드도 빈번히 발견되고 있으며, 추후에도 지속적인 chm 파일을 이용한 공격이 지속적으로 발생할 것으로 예상됨으로 주의가 필요하다.

하우리 보안대응센터 김정수 센터장은 “국가 주요 기관이나 일상과 업무에서 일반적으로 발생할 수 있는 자연스럽고 일반적인 메일 이용하여 APT 공격이 빈번히 이루어지고 있다. 전자메일을 이용한 악성코드 감염이 조직 침투의 주요 공격 루트이므로 사용자 및 관리자의 정기적인 시스템 보안점검과 관리로서 위협요소를 제거하는 것이 중요하다“라고 말했다.


★G-PRIVACY 2023 개최★

▶상반기 최대 개인정보보호&정보보안 컨퍼런스! 

▶공무원 및 일반기업 CISO, CPO, 보안실무자 7시간 보안교육 이수!

▶2023년 보안업무에 필요한 최신 실무 정보 및 보안솔루션 정보가 한 눈에!

-주최: 데일리시큐

-후원: 관계 기관

-참가대상: 전국 공공·지자체·교육기관·금융기관·일반기업 CPO, 개인정보보호 담당자, CISO, 정보보안 책임자, 실무자 등

-일시: 2023년 3월 23일(오전 9시~오후 5시 00분)

-장소: 더케이호텔서울 2층 가야금홀

-인원: 공공기관, 지자체, 공기업, 일반기업, 금융기관보안담당자 1,000명 이상

-사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★