최근 지능형지속가능위협(APT) 공격 방어를 위한 솔루션이 개발되면서 새로운 방식으로 국가안보전략 내용을 담은 도움말(HLP)파일 형태로 위장한 APT공격이 성행하고 있다.
14일 잉카인터넷 ISARC 대응팀 블로그에 따르면, 윈도 도움말 파일 형식으로 제작된 악성파일이 발견됐으며 파일명은 ‘국가안보전략 개요.hlp’로 북한의 대남위협과 우리 안보태세와 관련 내용으로 구성된 본문을 포함하고 있다.
최근 HLP파일을 이용하는 악성파일은 꾸준히 발견되는 추세였다. 해당 취약점 파일 등에 의해 또 다른 악성파일이 사용자 PC에 몰래 설치되는 과정을 거치는 것이다.
이번에 발견된 파일을 실행하면 정상적인 문서내용처럼 보여지지만 경고 메시지없이 추가 악성파일이 몰래 설치된다. 악성파일에 노출되면 외부의 추가 명령을 통해서 ▲다양한 정보 유출 ▲좀비PC 등의 분산서비스거부(DDoS)공격용 에이전트 ▲추가 악성파일 경유지 서버▲APT 공격용 2차 전초기지 등으로 악용될 수 있다.
관련기사
- 어도비 플래시 취약점 이용 APT공격 '주의'2012.05.14
- 한글워드 이용한 APT공격 주의하세요2012.05.14
- APT보안 공격 한글파일 침투...유명 대기업도 겨냥2012.05.14
- 중국발 '럭키캣' APT공격 성행2012.05.14
기존에는 문서파일 취약점을 이용한 악성파일이었다. 그러나 이번에는 다소 생소할 수 있는 도움말 파일 취약점을 공격한 사례로 사용자들이 의심없이 실행할 가능성이 있어 피해가 더욱 심각할 수 있을 것으로 예상된다.
문종현 잉카인터넷 ISARC 대응팀 팀장은 “기존에 알려져 있는 공격 수법만을 방어하는 시스템만으로는 100% 안전할 수 없다는 것을 보안 관리자는 반드시 유념해야 하며, 공격자는 방어자의 기술을 분석해 역이용하고 있어 탐지를 우회하기 위한 다양한 노력과 실험을 하고 있다는 것을 절대로 잊어서는 안된다”면서 “APT공격 이메일 첨부파일 형식은 매우 다양하고 본문에 포함된 악의적 URL링크 클릭 유도 등의 사례도 다수 존재해 주의가 필요하다”고 말했다.