이 시각 주요 뉴스

여백

한국 대상 맞춤형 악성코드 유포

APT 그룹 라자루스, 국세청 사칭한 '무비코인' 시리즈 공격 실시 최형주 기자l승인2019.08.20 17:33:25l수정2019.08.20 17:40

크게

작게

메일

인쇄

신고

[CCTV뉴스=최형주 기자] 이스트시큐리티 시큐리티대응센터(ESRC)가 지난 8월 13일 정교한 한국어를 사용해 국세청 관련 한글 문서를 사칭한 악성코드 공격을 실시했다고 밝혔다. 이 공격은 라자루스(Lazarus)라는 APT 그룹의 오퍼레이션 ‘무비코인’ 시리즈로 분석됐다.

라자루스는 지난 6월부터 8월까지 지속적인 활동을 보이는 해킹 조직이다. 이들은 국내 유명 암호화폐 거래소 회원들을 주요 공격 대상으로 삼고, 한글의 포스트스크립트(PostScript) 취약점을 활용했다.

이번 공격에 사용된 소명자료제출요구서.

악성 한글 파일에 사용된 공문서는 ‘소명자료제출요구서’이며, 실제 공문서 양식에 악성 스크립트를 삽입해 배포했다. 이 포스트 스크립트는 특정한 웹서버 주소로 연결을 시도하고, 윈도우즈 시스템에 맞춰 32비트용과 64비트용 암호화 악성코드가 선택적으로 설치된다. 이후 악성코드는 공격자의 명령을 기다린다.

ESRC 조사결과 악성코드가 명령을 내려 받는 3곳의 C2서버 도메인은 모두 거의 동일한 시점에 동일한 곳에서 등록됐다. C2서버는 악성코드를 제어하기 위해 사용되는 서버로, 이번에 발견된 악성코드 C2서버에서 나타난 특징은 공격자가 직접 C2서버를 구축했을 수도 있다는 가능성을 보여준다.

이스트시큐리티는 “한글 HWP 취약점을 이용한 스피어피싱 공격이 은밀히 진행되고 있다”며 “문서 소프트웨어를 최신 버전으로 업데이트하고, 워드(doc) 문서와 엑셀(xls) 파일의 매크로 실행은 절대 금물”이라고 당부했다.

▲ 스피어피싱은 사회공학적 기법을 통해 이메일 수신자를 현혹한다.(사진=이스트시큐리티)

 

#라자루스#이스트시큐리티#LAZARUS#악성코드#해킹#해커#랜섬웨어#무비코인#APT#공격#국세청#사칭#위협#공격#보안#사이버#시큐리티#바이러스#컴퓨터#IT

최형주 기자  hjchoi@cctvnews.co.kr
<저작권자 © CCTV뉴스, 무단 전재 및 재배포 금지>

최형주 기자의 다른기사 보기
여백
여백
여백
여백
매체소개공지사항보안자료실기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부    [기사ㆍ기고 문의 : desk@cctvnews.co.kr]
(주)테크월드 08507 서울특별시 금천구 가산디지털1로 168, 1012-1호 (가산동, 우림라이온스밸리 C동)  |  제호: 씨씨티브이뉴스  |  발행일: 2009년 2월 19일
대표전화 : 02)2026-5700  |  팩스 : 02)2026-5701  |  이메일 : webmaster@techworld.co.kr  |  청소년보호책임자 : 박지성
통신판매업신고번호 : 제 2008-서울금천-0415 호  |  발행·편집인 : 박한식  |  인터넷신문등록번호 : 서울, 아 00607  |  등록일 : 2008.06.27
Copyright © 2019 CCTV뉴스. All rights reserved .