2024-03-29 08:00 (금)
국내 특정기관 타깃 APT 공격용 한글 악성문서 다수 발견
상태바
국내 특정기관 타깃 APT 공격용 한글 악성문서 다수 발견
  • 길민권
  • 승인 2014.01.10 06:49
이 기사를 공유합니다

하우리“북한정보 다루는 기관 노린 APT 공격으로 추정”
특정기관을 겨냥한 APT 공격 정황이 점차 증가하고 있어 각별한 주의가 필요한 상황이다. 이번에 발견된 한글 취약점을 악용한 문서파일에서는 북한과 관련된 내용을 담고 있다. 북한정보를 다루는 기관을 노린 APT 공격으로 추정된다. 특히 급변하는 북한정권의 변화로 북한의 도발 가능성이 높아지고 있는 지금 국가적인 사이버 보안에 대한 주의가 요구된다.

해당 문서를 최초 발견한 하우리 보안대응센터 관계자는 “한글 프로그램 취약점을 이용해 감염되기 때문에 한글 프로그램의 최신 보안패치가 되어 있지 않은 수신자들은 문서를 열람할 경우 악성코드에 감염되었을 것으로 판단된다”며 “감염PC는 공격자에 의해 시스템 정보 및 기밀정보를 지속적으로 누출하게 돼 위험한 상황이다”라고 강조했다.


<APT 공격용 한글 악성 문서 1 - 단체장명단(라이온스).hwp>


<APT 공격용 한글 악성 문서 2 - 우민끼(탈북자 시리즈).hwp>


<APT 공격용 한글 악성 문서 3 – 시안3.hwp>


<APT 공격용 한글 악성 문서 4 – 탈북후 재입북자 김광호씨 기자회견.hwp>
 
하우리 분석에 따르면, 한글 취약점을 악용한 문서파일을 열게 되면 아래와 같이 파일을 생성한다.
1. 악성 문서 1, 2, 3 은 아래와 같은 경로에 파일을 생성한다.
%Temp%HwpLib.dll
2. 악성 문서 4 은 아래와 같은 경로에 파일을 생성한다.
C:WINDOWSWebuxsmss.dll
 
공통적으로 감염 PC의 시스템 정보 및 저장된 문서파일에 대한 정보를 탈취하는 기능을 가지고 있다.


<감염된 PC에서 탈취한 시스템 정보>
 
감염 PC에서 중요 시스템 정보를 탈취해 공격에 성공한 PC 정보를 수집하고 이러한 정보를 바탕으로 추가적인 공격을 감행하기 위한 목적을 가진 공격으로 분석된다.
 
[HwpLib.dll 악성코드]
특정서버를 이용하여 탈취한 정보를 전송한다.
 
<정보탈취에 사용하는 서버>
Mid*****.co.kr
Milk*******ura.ne.jp
Bo*****f.net
Ts*******ra.ne.jp


<탈취한 정보를 서버로 전송>
 
[uxsmss.dll 악성코드]
악성코드 제작자가 만들어 놓은 메일 서버에 접속하여 탈취한 정보를 전송한다.


<메일 로그인 ID, PW>
 
이번 악성코드의 경우 지속적으로 시스템 정보를 수집하고 탈취한 정보를 특정서버 및 이메일 계정을 이용해 시스템 정보를 탈취하는 기능을 가지고 있다. 또한 추가적인 파일 다운로드 및 실행 할 수 있어 악성코드 제작자로부터 추가적인 공격을 받을 위험이 존재한다.
 
최근 북한에서 제작된 것으로 추정되는 한글 취약점을 악용한 한글 문서가 빈번하게 발견되고 있다. 앞으로도 정부기관 및 기업을 대상으로 정보탈취 및 추가적인 목적을 가진 공격이 늘어날 것으로 예상된다.
 
APT 공격은 단발 공격으로 끝나는 것이 아니라 지속적이고 추가적인 공격이 이루어지는 만큼 이에 대응할 수 있도록 각 부서 관계자를 대상으로 보안의식을 강화하기 위한 교육 및 이에 대응 할 수 있도록 보안에 대한 투자가 이루어져야 할 것이다.
 
하우리 보안대응연구팀은 “출처가 불분명한 파일은 가급적 실행을 자제해야 하며 실행 전 반드시 백신 프로그램의 최신 버전으로 검사를 수행해야 한다. 또한 최근 애드웨어 및 취약점을 이용한 악성코드들이 인터넷 또는 메일을 통해 배포되고 있으므로 각종 응용프로그램, OS는 항상 최신 보안 패치를 유지하고 프로그램 설치 시 다른 제휴 프로그램이 설치되는 건 아닌지 꼼꼼히 살펴보아야 한다”고 강조했다.
 
이어 한글 악성 취약점을 이용한 APT 공격을 방어하기 위해서는 아래와 같은 조치를 취해야 한다고 조언했다.
 
1. 이메일에 첨부된 한글 문서는 함부로 열람하지 않고 발신자에게 확인한 후 열람한다
2. 한글 프로그램의 보안패치를 최신으로 유지한다.
3. 백신 프로그램을 최신 업데이트 한 후 실시간 감시기를 활성화 한다.
4. APT 공격 방어 솔루션을 도입하여 사전에 차단한다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★