HAURI

전체메뉴 열기

Check Virus Alerts and HAURI News

긴급 악성코드 이슈와 하우리 소식을 확인하세요.

공지사항

[보도자료] (주)하우리, 국내 북한 관련 인사 대상 표적 공격 정황 포착
등록일 :
2017.08.31

보안전문기업 (주)하우리(대표 김희천)는 국내의 북한관련 인사를 타깃으로 사용자 정보와 중요자료를 탈취하는 악성코드가 유포중인 정황을 포착했다.

이번에 발견된 악성코드는 모 대학의 정치학 교수를 겨냥하여 이메일을 통해 악성 한글 문서의 다운로드 링크가 포함된 형태로 유포되었다. 특히 이번 공격은 “문재인 정부의 탈핵선언을 비판한다.hwp” 라는 첨부파일을 포함한 이메일을 정치학과 교수에게 전송하는 등 정확한 타깃이 정해진 표적형 공격이다. 수신자와 관련된 내용을 포함하여 사용자로 하여금 아무 의심 없이 첨부 파일을 실행하도록 설계되어있다.

또한 이번에 발견된 한글 악성코드는 일반 첨부파일이 아닌 대용량 파일을 통해 전송되었다. 대용량 파일 전송은 메일에 실제 파일이 첨부된 것이 아닌 링크가 남겨져 있는 것으로 사용자가 링크를 클릭해야 메일 서버에서 다운로드하는 방식이다. 이런 유포 방식은 실제 악성 파일이 이메일에 첨부되어 있지 않아 백신프로그램 및 보안솔루션에서 탐지가 어렵다.

해당 악성 한글 파일을 실행하면 포함된 “EPS” 파일을 처리하는 과정에서 취약점이 발생하여 국내 웹사이트에 업로드된 악성코드(“head*.jpg”)를 다운로드한다. 다운로드된 악성코드는 추가로 악성 바이너리(“tail*.jpg”)를 다운로드한 후 복호화하여 메모리에서 실행시킨다. 이후 실행된 악성 바이너리는 감염된 사용자의 PC의 주요파일들을 압축하여 클라우드 서버로 전송한다.

특히 이번에 사용된 악성 한글 파일 제작자는 취약점에 사용하는 쉘코드를 변형하여 백신들의 탐지를 우회하고 있다. 이러한 악성 한글 파일은 “문재인 정부의 탈핵선언을 비판한다.hwp” 이외에도 “개성공단 재개 절대 안되는 8가지 이유.hwp” 등 타깃이 된 사용자의 맞춤형으로 첨부파일을 제작하는 것으로 확인 되었다.

보안대응팀 주은지 연구원은 “올 초부터 ‘남북 재래식 무기비교’, ‘5대 악성 사이버 범죄 피해예방수칙’ 등의 이름으로 국내 사용자들을 타깃으로 한 표적형 공격이 많이 포착됐다”고 전했다. 또한 “이번에 사용된 악성 한글 파일의 제작자는 올 초 국내에 유포되었던 악성코드의 제작자와 동일한 것으로 추정된다”며 “과거 국내를 표적으로 한 해킹 단체의 공격이 한층 발전하여 다시 재개한 것으로 보이기 때문에 사용자들은 운영체제의 보안패치와 백신 프로그램을 최신 업데이트로 유지하는 등의 대비가 필요하다”고 덧붙였다.  

하우리 바이로봇에서는 해당 악성 파일을 아래의 진단명으로 탐지 및 치료하고 있다.
- HWP.S.Exploit.908288

 

 


[그림1. 북한 관련 인사인 정치학 교수에게 발송된 해킹 메일]


[그림2. 유포되고 있는 악성 한글 파일]

[그림3. 악성코드 유포 도식도]

 

 

Top