11월 6일 기준으로 MS 오피스 제로데이 보안취약점을 이용하는 악성 Word 파일이 다수 발견됐다. 파키스탄 등에서 변종이 다수 유포 중인 정황도 포착된 상태다.
 
이번 악성파일을 발견하고 포스팅한 잉카인터넷 대응팀 관계자는 “해당 이슈는 대응팀에서 지난 10월 말 관련 첩보를 입수하고 자체 조사를 은밀하고 진행 중에 있었다. 또한 보여지는 문서파일은 대체로 파키스탄 시간대를 이용하고 있다”고 설명했다.
 
악성파일은 "Shanti Dyanamite.docx", "IMEI.docx", "Inter-Services Intelligence (ISI).docx", "Kayani.docx", "Failure_Notice.docx", "$142,000.docx", "Illegality_Supply details.docx", "Missing MT103 Confirmation.docx", "Swift Message $288,550 USD.docx" 등으로 유포되었으며, 실행 시 정상적인 DOC 문서파일들을 보여준다.
 
현재까지 확인된 바에 의하면 변종이 매우 다양하게 존재하고 있으며, 지난 10월 3일 경부터 파키스탄 지역을 통해서 제작 유포된 것으로 추정된다. 이외의 국가에서도 공격이 사용된 보고가 확인되고 있다.
 
아래는 실제 사용된 공격 이메일 중 하나이다.

 
◇악성파일 정보
"Shanti Dyanamite.docx" 악성파일은 CVE-2013-3906 취약점을 통해서 터키의 특정 도메인으로 접속해 "winword.exe" 악성파일을 다운로드하고 실행하게 된다.
 
다운로드되는 파일은 변종에 따라 다르고 설치 경로도 조금씩 상이하다.
hxxp://myflatn**.com/new****/winword.exe
hxxp://myflatn**.com/br***/winword.exe
hxxp://myflatn**.com/br*****/winword.exe
hxxp://myflatn**.com/br*****/winword.exe
hxxp://myflatn**.com/ra*****/winword.exe
hxxp://twiks****.com/Exp**/winchost.exe

 
해당 "winword.exe" 악성파일은 RAR SFX 형식으로 압축되어 있으며, 내부에는 "Updates.exe" 이름의 또 다른 악성파일과 "Shanti.doc" 이름의 정상적인 문서파일이 포함되어 있다. 2개의 파일은 RAR SFX 명령에 의해서 압축이 자동해제된 후 각각 모두 실행이 된다.
 
내부에 포함되어 있는 "Shanti.doc" 정상문서 파일이 실행되면 아래와 같은 화면을 보여주고, 이용자로 하여금 정상적인 문서로 인식하도록 속이게 만든다. (일부 모자이크)

 
"Updates.exe" 악성파일은 일정 시간간격으로 러시아의 특정 호스트(37.0.125.77)로 접속을 시도하여 다양한 추가 명령을 수행하게 된다.

 
잉카인터넷 대응팀 문종현 팀장은 “지능형 표적공격은 특정 기업이나 기관을 상대로 지속적인 공격을 수행한다. 특히, 보안업데이트가 존재하지 않는 제로데이 공격이 발생할 경우 공격에 노출될 가능성이 매우 높다”며 “이용자들은 확장자에 이상한 점이 없는지 세심하게 살펴보는 보안습관이 중요하다. 마이크로소프트사에서 해당 보안취약점을 제거한 업데이트를 배포할 경우 신속하게 업데이트 하는 노력이 필요하며, 유사한 형태의 위협에 노출되지 않도록 각별한 주의가 필요하다”고 말했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com