세미나 참가대상 정보 수집 목적...키로깅 기능이 포함
최근 특정 대상을 목표로 하는 새로운 형태의 APT 공격이 계속해서 발견되고 있어 관계 기관의 각별한 주의가 필요하다.하우리 보안대응센터는 “해당 악성코드는 특정 연구소의 세미나에 관한 문서로 위장해 유포되었으며 세미나를 참가하는 대상들의 정보를 수집할 목적으로 추정된다”며 “이번 APT 공격은 사용자의 키보드 입력 값을 수집하는 키로깅 기능이 포함되어 있어 정보 유출의 위험성이 크다”고 경고했다.
하우리에서 분석한 이번 악성파일의 특성은 다음과 같다.
한글 프로그램 취약점에 의해 사용자 모르게 아래와 같은 경로에 파일을 생성하고, 한글로 작성된 정상 문서 파일을 보여준다.
C:Documents and Setting(사용자계정)Application DataMicrosoftAdobemnrunst.exe
C:Documents and Setting(사용자계정)Application DataMicrosoftAdobe mnrunt.dll
C:Documents and Setting(사용자계정)Application DataMicrosoftAdobe nkmond.dll
C:Documents and Setting(사용자계정)Application DataMicrosoftAdobe nmaila.dll
C:Documents and Setting(사용자계정)Application DataMicrosoftAdobe ~RKey.dat
생성된 악성파일 중 mnrunst.exe는 윈도우의 정상 explorer.exe 프로세스에 nkmond.dll와 mnrunt.dll를 인젝션 시키어 동작 한다. 때문에 일반 사용자는 악성코드 감염 여부를 쉽게 알기 어렵다.
<악성코드동작 방식>
<키로깅 함수>
<~RKey.dat 에 정보 수집>
<웹 메일 서비스 로그인>
<해커에게 전송된 메일>
수집된 정보는 위와 같이 메일이 송신된다. iexplorer.exe를 통해 메일이 발송되는 이유는 웹 메일 서비스를 통해 특정 메일계정으로 로그인해 해커의 메일 주소로 발송되기 때문이다.
하우리 보안대응연구팀은 최근 들어 한글 취약점을 이용한 다양한 APT 공격이 지속적으로 발견되고 있으며, 특정 대상을 상대로 특정 기관들의 정보를 수집하고 있어 기관의 중요 정보가 유출되는 사고가 일어날 수 있기 때문에 문제점이 크다“며 ”특히 이번 APT공격은 키보드 입력 값을 수집하여 웹 메일 서비스를 통해 정보를 유출할 수 있는 문제점이 있어 주의해야 한다. 이러한 사고를 방지하기 위해서 항상 보안 패치를 최신으로 유지 하며, 지인이 보낸 메일이라도 첨부파일을 받아 실행할 때 각별히 주의를 기울이고 주기적인 백신검사가 필요하다“고 강조했다.
한글 악성 취약점을 이용한 APT 공격을 방어하기 위해서는 다음과 같은 조치를 취해야 한다.
1. 이메일에 첨부된 한글 문서는 함부로 열람하지 않고 발신자에게 확인한 후 열람한다.
2. 한글 프로그램의 보안패치를 최신으로 유지한다.
3. 백신 프로그램을 최신 업데이트 한 후 실시간 감시기를 활성화 한다.
4. APT 공격 방어 솔루션을 도입하여 사전에 차단한다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
