타깃과 관련이 있을 법한 내용의 이메일을 전송하는 것은 표적형 공격에서 이용되는 가장 일반적인 소셜 엔지니어링 수법 중 하나다. 이메일은 비즈니스에서 중요한 연락 수단이므로 네트워크에 잠입하기 위한 공격 수단으로 자주 이용된다. 이를 통해 표적형 공격을 다음 단계로 진행시킬 수 있다.
 
최근 트렌드마이크로는 “모니터링하고 있는 표적형 공격 중 하나는 라오스의 부총리가 사망한 비행기 추락 사고 뉴스를 이용했다”며 “이 이메일은 'BREAKING: Plane Crash in Laos Kills Top Government Officials(속보: 라오스 비행기 사고로 고위 관리들이 사망)’이라는 제목을 사용하고 추락 사고의 뉴스 기사라는 문서 파일이 첨부되어 있었다”고 설명했다.

 
업체에 따르면, 이 이메일에는 이미지 파일(확장자 jpg) 2개와 압축 파일 1개가 첨부되어 있었다. 이 압축 파일은 몇몇 사례에서 ‘TROJ_MDROP.TRX’로 탐지되는 악성코드를 포함하고 있었다. 이 악성코드는 실행되면 취약점 ‘CVE-2012-0158’를 이용한 공격을 수행한다. 이 취약점은 마이크로소프트가 2012년에 공개한 보안 공지 ‘MS12-027’로 이미 패치가 제공되었음에도 불구하고 과거 몇몇 공격에서 이용된 적이 있다. ‘CVE-2012-0158’은 2013년 하반기에 표적형 공격에서 가장 많이 이용된 취약점으로 분석되고 있다고 전했다.
 
공격자는 보통 오래된 취약점을 이용한다. 이번 공격에서도 알 수 있듯이 최신 보안 업데이트를 사용해 패치를 적용하거나 PC를 업데이트하는 것은 매우 중요한 부분이다. 이 취약점이 이용되면 문제의 악성코드는 ‘BKDR_FARFLI’군의 변종인 백도어형 악성코드를 생성한다. 이 악성코드는 프로세서/시스템 아키텍처 정보, PC 이름 및 사용자 이름, 네트워크 정보 등을 수집하고 프록시 설정 등을 실행한다.
 
또한 이 악성코드는 아래의 C&C 서버를 이용한다. 이 중 1개는 홍콩 서버다.
- <생략>injia.vicp.net(<생략>.<생략>.68.135)
- <생략>p-asean.vicp.net(<생략>.<생략>.68.135)
 
표적형 공격의 정보 유출 단계에서는 포트443(SSL)을 통해 HTTP POST 리퀘스트를 이용해 네트워크 탐지를 회피한다. 이를 통해 IT 관리자에게 들키지 않고 네트워크 외부로 정보를 유출할 수 있게 되는 것이다.
 
업체는 보안블로그를 통해 “여기에서 주목할 만한 것은 이 표적형 공격에서 이용된 악의적인 문서 파일을 이용한 공격이 캠페인 'HORSMY', 'ESILE', 'FARFLI'라는 다른 표적형 공격에서도 확인되고 있다는 것”이라며 “캠페인 'ESILE'에서는 아시아태평양 정부 관련 기관이 표적이 되었다”고 밝혔다.
 
공격자는 이 표적형 공격에서 이용된 악의적인 문서 파일의 템플릿을 다른 목적의 악성 활동에 따라 수정해 이용하고 있었다. 이번 표적형 공격의 배후에 있는 공격자는 이 템플릿을 언더그라운드에서 배포하거나 판매하는 것이 가능했을 것으로 분석가는 추측하고 있다.
 
이를 통해 악의적인 문서 파일을 이용한 공격이 다른 표적형 공격에서도 이용된 이유를 설명할 수 있다. 트렌드마이크로 조사에 따르면, 아시아계 이름을 가진 사람이 이번 표적형 공격의 배후에 있거나 이 표적형 공격에 이용된 'TROJ_MDROP.TRX'로 탐지되는 악의적인 문서 파일의 템플릿을 최초로 만든 사람이라고 추정하고 있다.
 
<★악성코드 정보는 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com