"논문심사 의뢰드립니다" 국가 자문 기관 사칭 악성 메일 주의

파일 열람 시, 정상 논문 노출되며 악성스크립트 다운로드…하우리 "감염 사실 인지 어려워"

컴퓨팅입력 :2023/03/10 16:36    수정: 2023/03/10 17:14

국가 자문 기관을 사칭해 악성 메일이 발송된 정황이 포착돼 사용자 주의가 요구된다.

보안전문기업 하우리는 국가 자문 기관을 사칭해 주요 기관의 특정인을 대상으로 악성메일이 발송된 정황을 포착했다고 10일 밝혔다.

해당 악성메일은 공신력 있는 국가 자문 기관을 사칭해, 국가 주요 연구기관의 특정 연구원에게 논문심사 의뢰를 요청하는 것으로 속여 메일 수신자가 악성코드에 감염되도록 제작됐다.

국가 자문 기관을 사칭한 악성 메일. (자료=하우리)

악성메일은 ‘[OOOO] 논문심사 의뢰드립니다.’ 라는 제목으로 발송되었으며, 메일 내용 또한 논문심사 의뢰 내용으로 전혀 어색한 부분없이 자연스럽게 기재되어 있어 수신자가 의심없이 악성메일을 열람하고 악성코드를 실행할 수 있다.

또한 첨부된 악성파일을 열어 악성코드에 감염되더라도 PC에 특별한 증상이 노출되지 않기 때문에 감염 사실을 PC 사용자가 인지하기에는 쉽지 않다.

악성메일에 첨부된 '논문.zip' 압축파일 내에는 '심사의뢰서.hwp' 파일과 '2022-3-2.chm' 파일이 압축돼 있다.

악성메일에 첨부된 압축파일(논문.zip) 내의 악성코드(2023-3-2.chm). (자료=하우리)

압축파일에 포함된 윈도우 도움말 파일인 '2023-3-2.chm' 파일을 열람하게 되면 'X Click' 함수를 통해 스크립트가 자동 실행되고, 악성 URL로부터 악성코드인 temp.vbs 파일이 다운로드돼 동작하도록 제작됐다.

'2023-3-2.chm' 파일 실행 시, 백그라운드로 악성스크립트가 실행됨과 동시에 '정책결정자의 리더쉽이 한미동맹과 미일동맹에 미치는 영향'이라는 정상 논문이 출력되면서 메일 수신자는 악성코드 감염 사실을 더욱 더 인지하기 어려워진다.

관련기사

‘2023-3-2.chm’ 파일 실행 시, 정상 논문이 출력되면서 메일 수신자는 악성코드 감염 사실을 인지하기 어려워진다. (자료=하우리)

하우리는 APT 공격 방법이 다양화되고 고도화되면서 윈도우 도움말(*.chm) 파일을 이용한 악성코드도 빈번히 발견되고 있으며, 추후에도 지속적인 chm 파일을 이용한 공격이 지속적으로 발생할 것으로 예상돼 주의가 필요하다고 설명했다.

하우리 보안대응센터 김정수 센터장은 "국가 주요 기관이나 일상과 업무에서 일반적으로 발생할 수 있는 자연스럽고 일반적인 메일 이용하여 APT 공격이 빈번히 이루어지고 있다"며 "전자메일을 이용한 악성코드 감염이 조직 침투의 주요 공격 루트이므로 사용자 및 관리자의 정기적인 시스템 보안점검과 관리로서 위협요소를 제거하는 것이 중요하다"라고 말했다.