보스턴 마라톤 폭탄테러 소식을 가장한 APT 공격이 발견됐다.

공격코드는 보스턴 마라톤 폭탄테러 소식을 가장한 이메일로 전송됐다. 수신된 메일주소의 상당수는 간단한 단어 및 몇몇 기업들의 도메인을 조합해 만들었으며 이중 일부는 실제 직원의 이메일 주소와 일치해서 해당 직원들에게 정확히 배달된 것으로 확인됐다.

■ 최초 전달된 악성링크가 포함된 메일. 메일을 보낸 사람도 정상적으로 보이는 메일주소를 다수 도용함

메일은 수신자의 관심을 끌기 위해 보스턴 마라톤 폭탄 테러 이슈를 악용하고 있으며 메일 내용에 포함된 링크를 클릭하면 보스턴 마라톤 폭발 사고 관련 실제 유튜브 영상을 담은 페이지로 연결되며 해당 페이지 하단에는 악성페이지의 링크를 포함하고 있다.

■ 유튜브 영상을 링크하고 있는 페이지하단에 악성페이지가 포함된 모습


웹사이트는 폭탄테러 장면을 담은 동영상 사이에 JAVA의 취약점(CVE-2013-0422)을 이용해 원격서버로부터 파일을 악성코드를 자동으로 다운로드하고 설치한다.

일단 악성사이트에 접속하면 페이지에 포함된 정상적인 동영상의 실행여부와 상관없이 PC에 설치된 JAVA가 취약점이 패치 되지 않은 경우 악성코드에 감염된다.             
■ JAVA취약점을 악용하는 파일이 포함된 JAVA 애플릿

JAVA 취약점으로 생성된 악성코드는 감염자 PC에서 대부분의 FTP 프로그램의 설정파일 정보(서버IP, 서버계정정보)를 수집하며, 정보를 수집하는 FTP 프로그램 리스트는 다음과 같다.



이는 FTP 프로그램을 사용하는 사람들이 대부분 서버 및 계정정보를 사전에 저장하고 사용하는 습관을 노렸다.

기업 직원의 PC를 감염시켜 백도어를 만들고 외부의 해커에게 지속적으로 정보를 전달하면서 기업 내부의 주요 시스템을 찾기 위한 이와 같은 활동은 APT 공격의 초기단계라고 할 수 있다.

또한 해당 악성코드는 FTP에 저장된 정보를 탈취하는 행위 외에도 ▲감염된 PC를 스팸서버로 동작하게 하go다수의 스팸메일을 발송 ▲감염된 PC에 이동식디스크(USB)를 연결시 자신을 USB에 복사한 뒤 USB내의 폴더와 파일의 속성을 숨김으로 변경 및 숨겨진 폴더명으로 바로가기 아이콘을 생성go 해당 아이콘을 클릭 즉시 재감염 등의 행위를 한다.

■ 악성코드에 감염된 PC에 이동식디스크 연결시 기존에 존재하던 폴더를 숨기고 해당폴더명으로 바로가기를 생성함

알약에서는 현재까지 발견된 악성코드들에 대해 모두 탐지하고 있으며 변종들이 지속적으로 발견되고 있으므로 사용자들의 주의가 필요하다고 밝혔다.

김준섭 이스트소프트 알약개발 부문장은 "특히 기업이나 단체의 경우, 공개되었거나 외부로 노출된 적이 있는 주소로 수신되는 이메일에 대해서 더욱 보안을 강화해야 한다"며 "직원들의 보안교육을 통해 의심스런 메일을 확인하지 않는 등의 주의가 필요하며 자바나 플래시와 같이 지속적으로 취약점이 발견되는 소프트웨어는 반드시 최신버전을 유지해야 이 같은 보안사고를 줄일 수 있다"고 말했다.