김정수 센터장 “국내 특정조직이나 국가기관으로 발송되었을 것” 추정
최근 APT 공격용 악성문서가 지속적으로 발견되고 있는 가운데 북한의 동해위성 발사대 건설 관련 내용으로 위장한 악성코드가 발견되어 각별한 주의가 요구된다.하우리 측에 따르면, 해당 악성코드는 북한의 정세와 안보 등의 변화를 예의주시하고 있는 특정조직이나 국가기관에게 북한의 동해위성 발사대 건설과 관련한 메일내용으로 발송된 것으로 추정되며, 해당 메일의 첨부파일에는 정상문서가 포함된 악성코드가 포함되었고 해킹메일을 수신한 사용자는 아무런 의심없이 첨부파일을 열람해 악성코드에 감염이 이루어졌을 것으로 추정된다고 주의를 당부했다.
사용자가 악성코드에 감염이 되었을 경우, 북한의 동해위성 발사대 건설의 시작을 재개했다는 내용의 정상 영문문서(.doc)가 사용자에게 출력된다. 해당 문서에는 북한의 무수단리 동해위성 발사대 시설 확장과 관련된 사진이 포함되어 있다.
또한 해당 악성코드에 감염된 경우, 정상문서가 보여짐과 동시에 백그라운드에서는 악성코드가 생성되고 감염된 PC의 논리 드라이브 정보와 현재 시스템에서 실행되고 있는 프로세스에 대한 정보를 압축해 특정 게시판에 게시물로 등록한다.
<실제로 감염 시스템에서 유출된 정보가 특정 게시판에 게시된 화면>
하우리 김정수 보안대응센터장은 “APT 공격용 악성코드이기 때문에 특정조직이나 국가기관으로 발송되었을 것으로 판단되며, 해당 악성코드 감염시 시스템환경 정보를 유출함으로서 조직내부에서 사용하고 있는 특정프로그램과 프로그램 설치경로를 파악할 수 있다. 이는 제 2의 해킹공격의 사전정보로 활용될 가능성이 높다”고 우려했다.
<하우리 분석정보>
-www.hauri.co.kr/information/issue_view.
<★악성코드 정보는 데일리시큐!★>
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
