![[컨콜] 현대차 “소형 하이브리드 개발 착수…전 라인업 구축할 것”](/common/img/logo_no_icon.png){kind=icon}
![[인터뷰] 고금리 고통이 낳은 새 출구 ‘대환대출’…두명의 ‘박 사무관’들이 해냈다](https://cdnimage.ebn.co.kr/news/news-p.v1.20240425.6d03c8a9abd34ad7981b90aa13207471_T1.jpg)
![[2보] “하이브리드 호조” 현대차, 1Q 매출 40.6조 ‘신기록’](https://cdnimage.ebn.co.kr/news/news-p.v1.20240425.b8bb606fd37e4108b527e0a9a1c90706_T1.jpg)
- 텍스트 축소
- 확대
하우리 "북한관련 인사 노리는 악성코드 주의"
- 송고 2017.08.31 16:56 | 수정 2017.08.31 16:56
- 김언한 기자 (unhankim@ebn.co.kr)
정치적인 메시지 포함한 메일 발송
표적형 공격
북한 관련 인사인 정치학 교수에게 발송된 해킹 메일ⓒ하우리
하우리는 국내 북한관련 인사를 타깃으로 사용자 정보와 중요자료를 탈취하는 악성코드가 유포 중인 정황을 포착했다고 31일 밝혔다.
모 대학의 정치학 교수를 겨냥, 이메일을 통해 악성 한글 문서의 다운로드 링크가 포함된 형태로 유포됐다.
특히 이번 공격은 ‘문재인 정부의 탈핵선언을 비판한다.hwp’라는 첨부파일을 포함한 이메일을 정치학과 교수에게 전송하는 등 정확한 타깃이 정해진 표적형 공격이다.
수신자와 관련된 내용을 포함, 사용자로 하여금 아무 의심 없이 첨부파일을 실행하도록 설계됐다.
또한 이번에 발견된 한글 악성코드는 일반 첨부파일이 아닌 대용량 파일을 통해 전송됐다. 대용량 파일 전송은 메일에 실제 파일이 첨부된 것이 아닌 링크가 남겨져 있는 것으로 사용자가 링크를 클릭해야 메일 서버에서 다운로드하는 방식이다.
이런 유포 방식은 실제 악성 파일이 이메일에 첨부돼있지 않아 백신프로그램 및 보안솔루션에서 탐지가 어렵다.
해당 악성 한글 파일을 실행하면 포함된 ‘EPS’ 파일을 처리하는 과정에서 취약점이 발생, 국내 웹사이트에 업로드된 악성코드(‘head*.jpg’)를 다운로드한다. 다운로드된 악성코드는 추가로 악성 바이너리(‘tail*.jpg’)를 다운로드한 후 복호화, 메모리에서 실행한다. 이후 실행된 악성 바이너리는 감염된 사용자의 PC의 주요파일들을 압축해 클라우드 서버로 전송한다.
특히 이번에 사용된 악성 한글 파일 제작자는 취약점에 사용하는 쉘코드를 변형하여 백신들의 탐지를 우회하고 있다.
이러한 악성 한글 파일은 ‘문재인 정부의 탈핵선언을 비판한다.hwp’ 이외에도 ‘개성공단 재개 절대 안되는 8가지 이유.hwp’ 등 타깃이 된 사용자의 맞춤형으로 첨부파일을 제작하는 것으로 확인됐다.
주은지 보안대응팀 연구원은 “올 초부터 ‘남북 재래식 무기비교’, ‘5대 악성 사이버 범죄 피해예방수칙’ 등의 이름으로 국내 사용자들을 타깃으로 한 표적형 공격이 많이 포착됐다”고 말했다.
이어 “이번에 사용된 악성 한글 파일의 제작자는 올 초 국내에 유포돼던 악성코드의 제작자와 동일한 것으로 추정된다”며 “과거 국내를 표적으로 한 해킹 단체의 공격이 한층 발전하여 다시 재개한 것으로 보이기 때문에 사용자들은 운영체제의 보안패치와 백신 프로그램을 최신 업데이트로 유지하는 등의 대비가 필요하다”고 덧붙였다.
하우리 바이로봇에서는 이 악성 파일을 ‘HWP.S.Exploit.908288’ 진단명으로 탐지 및 치료하고 있다.
©(주) EBN 무단전재 및 재배포 금지
관련기사
전체 댓글 0
베스트 클릭
이슈종합
오피니언
시황
코스피
코스닥
환율
KOSPI 2,628.62 ▼ 47.13(-1.76)
코인시세
인사/부고/동정
서울미디어홀딩스
패밀리미디어 실시간 뉴스
