2020.10.11 (일)

  • 흐림동두천 13.3℃
  • 구름많음강릉 13.7℃
  • 흐림서울 16.2℃
  • 흐림대전 16.7℃
  • 구름많음대구 15.6℃
  • 구름조금울산 15.2℃
  • 구름많음광주 17.4℃
  • 구름많음부산 16.2℃
  • 구름많음고창 15.0℃
  • 구름조금제주 19.6℃
  • 흐림강화 13.5℃
  • 흐림보은 13.8℃
  • 흐림금산 15.9℃
  • 구름많음강진군 16.0℃
  • 구름조금경주시 12.8℃
  • 구름많음거제 14.5℃
기상청 제공

코로나19 ‘마스크’ 관심 노린 APT 공격 발견 '주의 요망'

이스트시큐리티, 코니 조직 소행 추정…파일 열시 악성코드 설치

URL복사

(서울=미래일보) 김정현 기자= 코로나19 사태로 인해 마스크가 전 세계적으로 품귀현상이 나타나고 있는 가운데 관련 정보 문서로 위장한 악성문서 파일을 열어볼 경우 사용자 PC에 악성코드가 설치되고 주요 정보가 탈취될 수 있어 주의가 필요하다.


이스트시큐리티는 마스크 관련 정보 문서로 위장한 악성 문서가 유포되고 있으며, 이 문서는 특정 정부 후원을 받는 것으로 추정되는 APT 공격 그룹 코니(Konni)의 소행으로 추정된다고 22일 밝혔다.

APT 공격 그룹 코니는 진난 몇 년간 꾸준히 국내를 타깃으로 APT공격을 수행하고 있다. 이스트시큐리티 ESRC(시큐리티대응센터)에서는 이미 수차례 이 조직의 위협을 확인하고 경고한 바 있다.

이 조직은 2020년에도 지속해서 APT 공격을 시도하고 있으며, 실제로 올 1분기 러시아어로 작성된 ‘북한의 2020년 정책 문서’, 그리고 ‘일본 2020년 패럴림픽 관련 자선단체 문서’ 사칭, 'Keep an eye on North Korean Cyber'라는 악성 doc 문서를 활용한 공격 등을 진행한 것으로 밝혀졌다.

문종현 ESRC 센터장은"이번에 발견된 마스크 관련 정보로 위장한 악성 문서는 MS워드(MS- Word)로 작성됐고 한국어 기반의 시스템 환경에서 지난 21일에 생성된 것으로 추정된다"며 "활용된 공격 벡터와 코드 기법 등을 분석한 결과 코니(Konni) 조직의 공격임을 확인했다"고 말했다.

새롭게 발견된 악성 문서는 'guidance'라는 파일명을 사용하고 있다. 이 악성 문서를 열어보면 최초에는 문서 내용이 제대로 보이지 않으며, 문서 내용 확인을 위해 상단에 나타난 ‘콘텐츠 사용’ 버튼을 클릭하도록 유도한다.

만약 ‘콘텐츠 사용’ 버튼을 클릭할 경우 최근 이슈가 되고 코로나19 바이러스 관련 마스크 소개 내용을 담은 문서를 보여주며 악성코드 감염 의심을 회피한다.

하지만 실제로는 공격자가 미리 설정해둔 악성 매크로 코드가 동작하며 사용자 몰래 자동으로 추가 파일을 실행한다. 이후 공격자의 명령제어(이하 C2)서버에서 추가로 악성 파일을 다운로드해 사용자 정보를 탈취하는 기능을 가진 최종 악성코드를 설치한다.

악성코드가 설치될 경우 공격자가 지정한 FTP로 감염된 PC의 시스템 정보와 실행 중인 응용프로그램, 관련 작업, 프로세스 목록 정보가 업로드되며, C2 서버를 통한 추가 공격 명령도수행할 수 있게 된다.

ESRC는 악성코드 설치과정에서 공격자가 탐지와 분석을 회피하기 위해 커스텀 Base64 코드를 적용했고, 이는 기존 코니 조직이 사용한 방식과 동일한 것으로 분석했다.

문 이사는 "코니 조직은 2014년부터 국내외 특정 조직을 타깃으로 사회공학적 기법을 활용한 다양한 APT 공격을 수행해왔다”며, “이 조직은 타깃이 관심을 가질만한 사회적 이슈나 주제를 공격에 활용하는 모습을 자주 보여온 만큼, 각 기업과 기관에서는 이들의 움직임에 주목해야 한다"고 강조했다.

현재 알약에서는 새롭게 발견된 악성코드를 탐지명 ’Trojan.Downloader.DOC.Gen’, ‘Trojan.Agent.245248K’, ‘Trojan.Agent.9216K’로 탐지 차단하고 있다.

redkims64@daum.net

배너


배너

포토리뷰


사회

더보기
부산 사상구의 유명호텔 임차인들…"소유주 일가 갑질로 수십억 원 피해" 호소 (부산=미래일보) '인터넷언론인연대' 취재본부, 장건섭 기자 = 부산 사상에 위치하고 있는 한 호텔 소유주 일가의 갑질로 임차인들이 심각한 피해를 입고 있다는 호소가 나왔다. 호텔 대표이사 회장의 처남이 임차인들을 속여 임대차계약을 체결하였으며 이 때문에 자신들의 전 재산을 날릴 위기에 처해 있다는 호소다. 부산 사상구에 위치한 유명호텔인 P호텔 피해 임차인들은 7일 성명서를 통해 이 호텔 대표이사 회장과 처남의 갑질 문제를 지적하면서 "처음부터 호텔을 재 개업하겠다는 것은 명백한 거짓말이었다"면서 "매각하려는 호텔 시설을 임대차 계약 한 것은 명백한 범죄행위"라고 목소리를 높였다. 임차인들은 성명서에서 "P호텔 나이트클럽에 관한 임대차 계약을 체결하기 전 2018년 초순경부터 대표이사의 처남 B씨를 만났다"면서 "그는 임차인들에게 부산 부산진구 전포동 황령산 인근에 호텔 허가를 받아 새로 개업할 예정이라고 말했다"고 주장했다. 임차인들은 이어 "사상구에 있는 P호텔 역시 약 50억 원을 투자하여 시설 및 부대업장을 리모델링한 후 재 개업할 것이라 말하면서 '사우나부터 시작하여 재 오픈할 것'이라고 밝혔다"고 설명했다. 임차인들은 또 "실제 사우나 입구에 붙

정치

더보기
김영수 민주당 전국청년위원장 후보 "기호 4번 김영수, '사즉생 생즉사'의 각오로 임할 것" (서울=미래일보) 장건섭 기자 = 김영수 더불어민주당 전국청년위원장 후보(기호 4번)는 6일 오전 민주당 공식 유튜브 채널 '씀'에서 라이브로 진행된 합동의 마지막 연설자로 나서 '사즉생 생즉사(死卽生 生卽死)의 각오'라는 정견발표를 통해 대미를 장식했다. 김 후보는 이날 정견발표를 통해 "더불어민주당의 청년들이 위기에 처했을 때 청년 김영수는 어디에서 무엇을 하고 있었느냐는 질문에 꼭 대답할 수 있어야 한다고 생각했다"고 밝혔다. 김 후보는 "시의원은 시민을 위해, 도의원은 도민을 위해, 국회의원은 대한민국 국민을 위해 조례 제정 및 입법 행정감사, 지역현안 문제해결 등 임기 내 총력을 다 하여도 해결하기 어려운 부분이 많이 있다"며 "전국청년위원장이라는 자리는 31만의 청년 당원들을 대변해야 하는 자리로, 청년당원들이 어려움을 겪는지 살펴야 하고 청년동지들이 내는 당비의 가치를 증명해야 되는 책무가 있다"며 이 같이 말했다. 김 후보는 이어 "앞으로 있을 보궐선거와 대통령선거, 지방선거까지 충실히 제 역할을 다할 사람이어야 한다"며 "임기동안 모든 부분에 걸쳐 전념할 수 있어야 한다"고 강조했다. 김 후보는 이와 함께 "민주화 시대의 청년 선배 들이 앞장

배너
배너