분석 정보/악성코드 분석 정보

[긴급]국내 유명 포털을 표적으로 한 APT 공격 발견 (#Update 02)

TACHYON & ISARC 2012. 6. 29. 09:39

1. 개요


잉카인터넷 대응팀은 최근 국내 유명 포털사이트의 직원에게 구직(Job Application)내용으로 위장하고, 이력서(Resume) 파일처럼 보이도록 만든 표적 공격형 이메일을 발견하였다. 해당 이메일은 "My resume.doc" 라는 이름의 MS Word 파일이 첨부되어 있고, CVE-2012-0158 보안취약점을 이용해서 사용자 몰래 또 다른 악성파일을 은밀히 설치하도록 만들어져 있다. 이 방식은 전형적인 지능형지속위협(APT)의 1차 단계에 속하는 공격수법이며, 수신자가 보안 취약점에 노출될 경우 임의의 공격자는 해당 사용자의 컴퓨터 정보 수집을 통해서 2차적인 기업 내부 기밀 정보 접근 및 수집을 시도하게 된다.


보통 이러한 방식의 공격수법은 매우 단순하지만 일반인의 경우 자신이 악의적인 공격자의 표적으로 사용되었다는 것을 인지하기 어려운 경우가 많다. 이렇듯 문서파일의 취약점을 이용한 공격방식은 매우 고전적이면서 꾸준히 사용되고 있다는 점에서 사용자 스스로 항시 최신 버전의 프로그램을 유지할 수 있도록 하는 노력이 중요하다고 할 수 있고, 의심스럽거나 신뢰하기 어려운 이메일을 수신할 경우 첨부파일 열람에 각별한 주의가 요망된다.

[이슈]국내 겨냥 최신 APT 공격자 밀착추적 및 집중해부
http://erteam.nprotect.com/251

잉카인터넷 대응팀은 해당 포털사의 보안관계자에게 관련 이슈를 전달하여, 공격 표적이 된 이용자의 보안상태를 점검할 수 있도록 정보를 공유한 상태이다.


2. 악성파일 공격 과정 및 수법

한국정보보호학회 HWP 논문 투고 규정 탈을 쓴 APT 공격
http://erteam.nprotect.com/284

[정보]국내 유명 기업 표적 공격(APT)형 수법 공개
http://erteam.nprotect.com/249

우선 공격자는 이메일 제목과 본문, 첨부파일명 등을 국내 유명 포털사이트 구직신청 내용처럼 보이도록 만들어 놓았다.

제목 :
FW: Job application

내용 :   
Dear (생략):
Good morning. I am honored to be here to get the opportunity to become a potential member of (포털사이트명).
As a college graduate, I believe “where there is a will, there is a way”, and I will try my best to do a good job in my business. So I sincerely hope that I can make a position in your company so that I can serve for the company.
I participated in lots of school activities and social practice during my four years of campus life. And the experience did a good job to improve the skill of communication and enhance the ability of organization. Also, my sense of team spirit is developed. I’m a person who likes challenges.
Specialties:
a. Good command of both oral and writing English, and excellent skills of business negotiation.
b. Special experiences in project coordination, project documentation establishment and management.
c. Able to work under pressure, independent, and strong ability to communicate with various people.
I am enclosing my resume together with my photo, and believe that they may be found satisfactory.. I assure you that if appointed, I will do my best to give your satisfaction.

pass:resume
Very truly yours
san
That'all,thanks for your attentio

첨부파일 :
My resume.doc



(#Update 02)
일본의 특정 기업에도 같은 발신자명으로 동일한 악성파일이 발신된 것이 추가 발견되었다.


해당 이메일 본문 내용을 한글로 번역하면 다음과 같다.

안녕하세요. 먼저 (생략)에 입사 지원하게 되어 영광입니다. 대학 졸업생인 저는 “뜻이 있는 곳에 길이 있다”라는 말을 믿으며, 회사에서 인정받는 사람이 되도록 최선을 다하겠습니다. 또한, 본분에 충실하여 회사에 기여하고 싶습니다.

저는 대학생활 동안 다양한 동아리 활동과 사회봉사에 참가하였고, 이러한 경험을 바탕으로 커뮤니케이션 뿐만 아니라 조직에도 잘 적응할 수 있다고 생각합니다. 또한, 팀플레이에 능하며 도전을 즐길 줄 압니다.

장점:
a) 영어 회화 및 작문에 자신 있으며, 사업협상에 능함
b) 프로젝트 관리, 문서작성에 경험이 많음
c) 어려운 일이나 혼자서도 업무를 처리하는 능력이 있으며 여러 사람들과의 커뮤니케이션 능력이 탁월함

사진과 함께 이력서를 동봉하였으며, 귀사에서 찾고 있는 인재상에 부합하길 희망합니다. 입사 기회를 주신다면 모든 일에 최선을 다하겠습니다.

암호: resume

감사합니다.

첨부파일인 "My resume.doc" 파일이 보안취약점이 존재하는 상태에서 실행될 경우 임시폴더(Temp) 경로에 정상적인 "My resume.doc" 파일을 생성하고 실행한다. 그러나 해당 본문에는 다음과 같은 내용을 포함하고 있다.


이렇듯 화면에는 MS Word 내용만이 보여지지만, 컴퓨터에는 사용자 몰래 다수의 파일이 생성되고 실행되어 시스템을 감염시키는 과정을 수행한다.

rc.exe 파일은 MS 리소스 컴파일러로 정상적인 파일이다.


악성파일은 이후에 홍콩의 특정 호스트로 원격 접속을 시도하며, 별도로 사용자가 입력하는 키보드 내용 등을 kl.log 파일로 저장한다.

아래 화면은 실시간으로 저장되는 키로그 테스트 내용이고, 이것을 통해서 사용자가 입력하는 모든 작업내용이 악의적 공격자에 의해서 무단 노출될 수 있고, 중요한 개인 정보 등이 사용자 몰래 유출될 위험이 있다.


악성파일은 svchost.exe 파일을 통해서 홍콩의 특정 C&C 호스트로 접속하여 공격자의 추가 명령을 대기하며, 이를 통해서 원격 제어 등 다양한 보안위협에 놓일 수 있게 된다.


 3. 마무리

특정 (국가)기관이나 기업 등을 표적삼아 내부 직원의 컴퓨터를 악성파일에 감염시키는 보안 위협 사례는 외부에 쉽게 발견되거나 알려지기가 어렵다. 특히, 일반 사용자들의 경우 자신의 컴퓨터가 베일에 쌓여 있는 누군가에 의해서 실시간 모니터링되고 제어되고 있다는 것을 인지하기는 사실상 불가능에 가까울 정도이다.

그렇기 때문에 공격자들은 이러한 보안 위협을 통해서 중요한 기밀 자료 등을 탈취하거나, 금전적 이득 또는 사이버 범죄(테러) 등으로 사용되고 있다는 점을 간과해서는 안된다.

과거의 고전적인 해킹은 의도적으로 자신을 노출시켜 실력을 과시하거나, Website Deface 등을 통한 재미 목적 등이 있었지만 지금의 보안 위협들은 한 단계 진보되어 국가나 기업의 기밀자료를 유출하는 등 범죄집단의 성향을 띄고 있으며, 은밀하고 고도화된 공격 방식이 채택되어 있다는 점을 명심해야 한다.

위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/