워드 문서 취약점 이용…유포 당시 국내 백신 대부분 탐지 못해!
국내 특정 은행을 겨냥한 APT 공격용 악성문서가 발견돼 주의가 요구된다. 워드 문서의 취약점을 이용해 악성코드 감염을 시도한 정황이 포착됐다.하우리 관계자는 “특정 은행을 겨냥해 발송된 해킹 메일은 지난 주 28일 해외에서 배송되는 송장 형태로 발송되었으며, 메일에 첨부된 악성 워드문서를 열람할 경우 워드 문서 취약점에 의해 악성코드가 다운로드 되도록 제작되어 있다”고 설명했다.
해당 악성코드에 감염되면 네트워크 방화벽 등록, 각종 정보 절취, C&C 서버에 접속해 악의적인 명령 수행이 이루어지기 때문에 은행 내부에 감염되면 치명적일 수 있다.
<국내 특정 은행을 겨냥한 해킹 메일>
또한 해당 악성코드를 열람할 경우, 정상 문서 파일이 보여짐과 동시에 악성코드가 함께 동작하기 때문에 사용자가 의심하기 어렵다. 발견 당시, 감염 후 생성된 악성코드를 국내 백신프로그램들이 대부분 진단하지 않는 상태이며, 현재 정부기관 및 백신업체에 공유하여 긴급 대응 중인 상태이다.
<주요 악성코드>
- (TEMP 폴더)cv.doc // 정상 문서 파일
- (TEMP 폴더)(랜덤).tmp // 악성파일
- (사용자 계정 폴더)Application Data(랜덤)(랜덤).exe // 악성파일
<해킹 메일에 첨부된 악성 Doc 문서. 이미지 하우리 제공>
하우리 보안대응센터 김정수 센터장은 “금융거래시 필요한 PC 보안 모듈을 악용한다던가 가짜 금융 앱을 가장하여 금전 탈취를 목적으로 한 지능적인 악성코드들이 최근 발견되고 있는 가운데, 은행내부를 타깃으로 APT 공격이 이루어진다면 더욱더 치명적이고 위협적일 수 밖에 없다. 금융피해가 발생하지 않도록 모바일과 PC 환경에서 발생하는 보안위협에 대한 주의와 경계가 필요하다”라고 강조했다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
