한국 대상 맞춤형 악성코드 유포
상태바
한국 대상 맞춤형 악성코드 유포
  • 최형주 기자
  • 승인 2019.08.20 17:33
  • 댓글 0
이 기사를 공유합니다

APT 그룹 라자루스, 국세청 사칭한 '무비코인' 시리즈 공격 실시

[CCTV뉴스=최형주 기자] 이스트시큐리티 시큐리티대응센터(ESRC)가 지난 8월 13일 정교한 한국어를 사용해 국세청 관련 한글 문서를 사칭한 악성코드 공격을 실시했다고 밝혔다. 이 공격은 라자루스(Lazarus)라는 APT 그룹의 오퍼레이션 ‘무비코인’ 시리즈로 분석됐다.

라자루스는 지난 6월부터 8월까지 지속적인 활동을 보이는 해킹 조직이다. 이들은 국내 유명 암호화폐 거래소 회원들을 주요 공격 대상으로 삼고, 한글의 포스트스크립트(PostScript) 취약점을 활용했다.

이번 공격에 사용된 소명자료제출요구서.

악성 한글 파일에 사용된 공문서는 ‘소명자료제출요구서’이며, 실제 공문서 양식에 악성 스크립트를 삽입해 배포했다. 이 포스트 스크립트는 특정한 웹서버 주소로 연결을 시도하고, 윈도우즈 시스템에 맞춰 32비트용과 64비트용 암호화 악성코드가 선택적으로 설치된다. 이후 악성코드는 공격자의 명령을 기다린다.

ESRC 조사결과 악성코드가 명령을 내려 받는 3곳의 C2서버 도메인은 모두 거의 동일한 시점에 동일한 곳에서 등록됐다. C2서버는 악성코드를 제어하기 위해 사용되는 서버로, 이번에 발견된 악성코드 C2서버에서 나타난 특징은 공격자가 직접 C2서버를 구축했을 수도 있다는 가능성을 보여준다.

이스트시큐리티는 “한글 HWP 취약점을 이용한 스피어피싱 공격이 은밀히 진행되고 있다”며 “문서 소프트웨어를 최신 버전으로 업데이트하고, 워드(doc) 문서와 엑셀(xls) 파일의 매크로 실행은 절대 금물”이라고 당부했다.

▲ 스피어피싱은 사회공학적 기법을 통해 이메일 수신자를 현혹한다.(사진=이스트시큐리티)

 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.