국가 자문 기관 사칭 악성코드 감염 주의 
상태바
국가 자문 기관 사칭 악성코드 감염 주의 
  • 곽중희 기자
  • 승인 2023.03.10 16:47
  • 댓글 0
이 기사를 공유합니다

논문심사 의뢰 요청으로 APT 공격 시도 

보안 기업 하우리가 국가 자문 기관을 사칭해 주요 기관의 특정인을 대상으로 악성 메일을 발송한 정황이 포착됐다며 주의를 요청했다.

해당 악성 메일은 공신력 있는 국가 자문 기관을 사칭하여 국가 주요 연구기관의 특정 연구원에게 논문심사 의뢰를 요청하는 것으로 속여 메일 수신자가 악성코드에 감염되도록 제작됐다.

악성메일은 ‘[OOOO] 논문심사 의뢰드립니다.’ 라는 제목으로 발송됐으며, 메일 내용 또한 논문심사 의뢰 내용으로 전혀 어색한 부분없이 자연스럽게 기재되어 있어 수신자가 의심없이 악성메일을 열람하고 악성코드를 실행할 수 있다. 또한 첨부된 악성파일을 열어 악성코드에 감염되더라도 PC에 특별한 증상이 노출되지 않기 때문에 감염 사실을 PC 사용자가 인지하기에는 쉽지 않다.
 
악성메일에 첨부된 ‘논문.zip’ 압축파일 내에는 [그림 1]과 같은 파일이 압축되어 있다. 압축파일에 포함된 윈도우 도움말 파일인 ‘2023-3-2.chm’ 파일을 열람하게되면 ‘X Click’ 함수를 통해 스크립트가 자동 실행되고, 악성 URL로부터 악성코드인 temp.vbs 파일이 다운로드 되어 동작하도록 제작되어 있다. 

악성메일에 첨부된 압축파일(논문.zip) 내의 악성코드(2023-3-2.chm)
악성 URL 주소와 VBS 악성코드 생성경로 (현재 악성URL 차단상태)

‘2023-3-2.chm’ 파일 실행 시 백그라운드로 악성스크립트가 실행됨과 동시에 ‘정책결정자의 리더쉽이 한미동맹과 미일동맹에 미치는 영향’ 이라는 정상 논문이 출력되면서 메일 수신자는 악성코드 감염 사실을 더욱더 인지하기 어려워진다.

APT 공격 방법이 다양화되고 고도화되면서 윈도우 도움말(*.chm) 파일을 이용한 악성코드도 빈번히 발견되고 있으며, 추후에도 지속적인 chm 파일을 이용한 공격이 지속적으로 발생할 것으로 예상됨으로 주의가 필요하다.

하우리 보안대응센터 김정수 센터장은 “국가 주요 기관이나 일상과 업무에서 일반적으로 발생할 수 있는 자연스럽고 일반적인 메일 이용해 APT 공격이 빈번히 이루어지고 있다. 전자메일을 이용한 악성코드 감염이 조직 침투의 주요 공격 루트이므로 사용자 및 관리자의 정기적인 시스템 보안 점검과 관리로서 위협 요소를 제거하는 것이 중요하다“고 말했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.