국내 주요 이동통신사 중 한 곳을 사칭한 악성문서를 유포한 뒤 파일을 열어본 사용자들을 감염시키는 수법이 발견됐다.
하우리(대표 김희천)는 지능형지속가능위협(APT) 공격용 악성문서가 특정기업을 사칭해 유포됐다고 4일 밝혔다.
해당 악성파일은 겉으로 보기에는 PDF문서파일처럼 보이나 실제로는 확장자가 'exe'인 실행파일이다. 이 파일을 열면 정상적인 PDF파일 내용이 보여지는 것과 함께 악성코드가 실행된다.
하우리에 따르면 윈도 폴더 옵션 설정 중 '알려진 파일 형식의 파일 확장명 숨기기' 기능을 비활성화해야지만 본래 확장자인 'exe'가 보인다. 공격자들은 일반 사용자들 입장에서는 해당 파일이 PDF파일인지, 일반 실행파일인지 구분하기 어렵도록 한 것이다.
악성프로그램은 사용자 몰래 백그라운드에서 실행되는 탓에 감염사실을 눈치채기도 어렵다.
PDF문서파일에는 특정 기업 임원ㆍ주요 주주, 특정 증권등 소유상황 보고서에 대한 내용을 다루고 있다. 증권상황에 관심이 있는 임직원, 일반 주주들이 해당 파일을 열어봤을 가능성이 크다.
관련기사
- 액티브X 대신 닷넷 악용 금융악성코드 발견2014.07.04
- 北위성 발사대 관련 메일 열면 악성코드 감염2014.07.04
- 한국 인터넷 뱅킹 노린 악성코드, 일본서도 확산2014.07.04
- 보안 솔루션 VPN, 파밍 공격에 악용2014.07.04
이 악성파일에 감염된 사용자 PC는 공격자가 다음에도 시스템에 드나들 수 있도록 백도어(뒷문)가 설치되고, 공격자가 구축한 C&C서버에 접속해 의도한 명령을 수행한다. 이밖에 호스트네임, 운영체제(OS) 정보, IP주소 등 시스템 정보를 수집하고, 동작 중인 프로세스 목록을 수집하며, 이중 일부를 종료시키는 기능을 포함하고 있다.
김정수 하우리 보안대응센터장은 새로 접수된 악성파일의 특징은 APT 공격의 범위가 정치적, 안보적 성향에서 벗어나 사회전반의 기업들, 기관들, 사회 공공단체들까지 확대될 수 있다는 심각성을 보여주는 것이라며 국가적 차원에서 이러한 보안 위협에 대응할 필요가 있다고 밝혔다.
