2024-04-26 15:40 (금)
[긴급]국내 정부 공무원 타깃 HWP APT 공격 발견!
상태바
[긴급]국내 정부 공무원 타깃 HWP APT 공격 발견!
  • 길민권
  • 승인 2012.08.14 16:50
이 기사를 공유합니다
정부부처 내부 공직자 타깃, HWP 문서파일 취약점 이용해 공격
감염시 키보드와 모니터화면, 사용자 PC정보 등 유출 위험
2012년 08월 02일 목요일 국내 특정분야 정책을 통합조정하는 정부부처의 내부 공직자를 정조준하고 HWP 문서파일 취약점을 이용해서 은밀하게 표적공격을 진행한 지능형지속위협(APT) 정황이 포착됐다.
 
이번 APT 공격을 최초 발견하고 공지한 잉카인터넷 관계자는 “국가 정책을 담당하는 중앙행정기관의 내부 직원을 겨냥했다는 점에서 국가 내부 정보수집을 목적으로 한 표적형 공격의 일환으로 추정하고 있다”며 “공격자는 한글문서(HWP) 파일의 취약점을 이용했으며 일일 주요외신 보도동향 보고라는 내용을 포함하고 있다. 또한 공격자는 이메일 제목과 내용 등에 한글을 직접 사용했고 보낸 사람 부분에도 한글로 최 강이라는 발신자명과 hotmail.com 계정을 이용했다”고 설명했다.
 
아울러 잉카인터넷 대응팀은 “지난 4월 경에 보고했었던 국내 유명 모기업을 표적으로 한 공격기법과 매우 유사해 동일인 또는 관계조직이 가담하고 있을 것으로 보고 자체 역학조사 진행 및 이상징후를 계속 예의 주시 중”이라고 밝혔다.

 
이번 악성파일은 업무시간이 마무리되는 시점인 오후 6시 55분경에 확인되었다. 이메일 제목에는 한글로 "(수정) 8.2 외신종합" 이라는 내용이 있고, 본문에는 "참고하세요"라는 짧은 표현만 포함되어 있다. 첨부파일에는 "8.2(목).hwp" 이름의 악성파일이 포함되어 있다. 이 공격방식은 2012년 4월 23일 진행된 국내 특정 기업에 사용된 방식과 매우 유사하다.
 
만약 첨부되어 있는 "8.2(목).hwp" 악성파일을 실행할 경우 보안취약점에 의해서 악성파일을 추가로 설치하고 실행한다.
 
가장 먼저 임시폴더(Temp) 경로에 "scvhost.exe" 이름의 악성파일을 설치하고 "AAAA" 이름의 정상적인 HWP 문서파일을 생성한다. 그리고 "config.ini", "dtapp.exe", "print32.dll" 등 다수의 악성파일을 만들게 된다.
 
메인 악성파일인 "scvhost.exe" 파일은 이미지 아이콘을 가지고 있고 마이크로 소프트사의 DirectX 파일처럼 위장하고 있으며 중국어로 제작되어 있다.
 
사용자를 속이기 위해서 악성파일이 생성된 이후에 다시 정상적인 문서파일이 실행되어 보여진다. 실제로 보여지는 문서파일은 "일일 주요외신 보도동향 보고"라는 제목과 경제, 북한, 외교와 관련된 내용들이 포함되어 있다.
 
또한 "C:Program FilesCommon Files" 경로에는 "odbc.nls" 이름의 DLL 파일이 생성되는데, Anti-Virus 제품의 탐지 우회목적의 Garbage Code 다수를 포함하고 있어 용량이 무려 약 25Mb 정도로 큰 편이다.
 
"C:WINDOWSTemp" 폴더 경로에는 udpmon.txt 라는 파일이 생성되고 아래와 같은 로그파일을 생성한다. 로그파일에는 키로거와 접속시도하는 원격지 호스트 IP 주소 등이 포함되어 있다.
 
odbc.nls 악성파일에 의해서 Print Spooler 서비스인 spoolsv.exe 정상 프로세스에 사용자 몰래 연동 실행되고 113.30.70.197 호스트로 시간차를 두고 접속을 시도한다. 그리고 각종 백도어 기능을 수행하는데 AutoKeylogger, CapScreen, 사용자 컴퓨터 정보 수집과 외부유출 시도를 하게 된다.
 
악성파일은 "C:WINDOWSsystem32" 경로의 정상 시스템파일인 "spoolss.dll" 파일을 변조(Patched)해 재부팅시 자동으로 "odbc.nls" 악성파일이 실행되도록 만든다.
 
HWP 취약점을 통해서 생성되는 악성파일 역시 "수원 토막살해자 오원춘, 감옥서 의외의 행동.hwp" 생성파일과 기법이 100% 일치하고 있다. 이것을 근거로 공격자는 국내 유수의 기업과 정부기관을 번갈아 가면서 공격하고 있다는 것을 확인할 수 있다.
 
잉카인터넷 관계자는 “현재 한글과컴퓨터에서는 해당 악성파일에 의한 피해 방지를 위해 보안 패치를 제공하고 있다”며 “한글 워드 프로세서를 사용중인 사용자들은 반드시 최신 보안 패치를 수행해 유사 악성파일로 부터 안전한 PC 사용을 할 수 있다”고 조언했다. 또 한글과 컴퓨터 제품군도 자동 업데이트 기능을 통해서 최신 제품으로 유지할 수 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
길민권
길민권 다른기사 보기
  • 서울특별시 송파구 송파대로 201 테라타워2, B동 9층 913-2호
  • 대표전화 : 02-400-2908
  • 팩스 : 02-400-2906
  • 청소년보호책임자 : 길민권
  • 법인명 :
  • 제호 : 데일리시큐
  • 등록번호 : 서울 아 02362
  • 등록일 : 2012년 11월 26일
  • 발행일 : 2013년 11월 26일
  • 발행·편집인 : 길민권
  • 사업자 번호 : 301-87-02348
  • 데일리시큐 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 데일리시큐. All rights reserved. mail to mkgil@dailysecu.com
ND소프트