분석 정보/악성코드 분석 정보

[이슈]맥과 윈도우를 복합적으로 겨냥한 Multi APT 공격 등장

TACHYON & ISARC 2012. 7. 3. 14:22
1. 개요


잉카인터넷 대응팀은 최근 애플(Apple)사의 Mac OS 와 마이크로소프트(Microsoft)사의 Windows OS 운영체제 사용자를 멀티로 겨냥한 지능형지속위협(APT) 공격 정황을 포착하였다. 그동안 보고되었던 표적공격의 경우 대부분 윈도우용 악성파일이 주를 이루었지만, 최근 맥용 악성파일이 APT 공격에 실제로 사용된 매우 이례적인 경우가 발견되었다. 이는 애플사의 맥북(에어/프로) 이용률이 증가하고 있다는 점과 감염 대상자가 맥 운영체제를 사용하고 있는 점을 공격자가 반영한 것으로 예측된다. 다시말해 표적형 공격자들도 맥사용자가 많아지고 있다는 점을 적극 고려하여 맥용 악성파일을 별도로 개발하고 있음을 증명하고 있다. 이처럼 새로운 맥용 악성파일이 은밀한 표적공격에 악용되고 있다는 점에서 해당 운영체제 이용자들도 이 부분을 각별히 유념하고 좀더 주의깊게 컴퓨터 보안에 신경을 써야 할 것으로 보인다.


특히, 이메일 첨부파일 등으로 맥용 악성파일이 유입될 수 있으므로 유사한 방식을 목격하게 될 경우 신뢰할 수 있는 파일인지 꼼꼼하게 살펴보고 실행하는 습관이 필요하다.

[긴급]HWP 문서 0-Day 취약점 이용한 APT 공격발생
http://erteam.nprotect.com/297

[이슈]국내 겨냥 최신 APT 공격자 밀착추적 및 집중해부
http://erteam.nprotect.com/251



2. 악성파일 공격 방식

2012년 06월 말경에 발견된 이 형식은 중국 정부가 공식적으로 인정한 56개 민족 중에 하나인 위구르족(Uyghur People)과 관련된 내용으로 위장한 이메일로 공격이 진행되었다.

[위키백과]위구르족
http://ko.wikipedia.org/wiki/%EC%9C%84%EA%B5%AC%EB%A5%B4%EC%A1%B1

수신자의 이메일 사용자는 캐나다 도메인의 야후 웹메일을 쓰고 있지만, Uyghur 유니버셜 웹사이트에서 Uyghurmen 으로 활동하고 있는 것으로 보아 위구르인으로 보여지며, 이메일도 위구르어가 사용되었다.


이메일은 유사한 내용으로 2가지 형태로 제작되어 공격에 사용되었고, 첨부된 파일명은 "matiriyal.zip" 으로 동일하지만 한개는 맥용 악성파일이고, 또 하나는 윈도우용 악성파일이다.

먼저 아래 화면은 맥용 악성파일을 첨부하여 공격한 이메일 화면이다.

 

 


다음은 윈도우용 악성파일이 포함된 이메일 형식이다.
 

 


각각의 첨부파일에는 동일한 JPG 그림파일이 하나씩 포함되어 있고, 다음과 같은 화면을 가지고 있다.

해당 사진에 있는 여성은 레비야 카디르(Rebiya Kadeer)로서 재미 위구르 협회장이며, 수십년간 위구르인의 인권을 위해 싸워 온 공로를 인정받아 국제인권단체인 휴먼라이츠워치에 의해 2004년 올해의 인권운동가로 선정되었으며, 2006년 노벨평화상 후보로 추천받기도 하였다.

[위키백과]레비야 카디르
http://en.wikipedia.org/wiki/Rebiya_Kadeer


맥용 악성파일은 "\matiriyal.app\Contents\MacOS\iCnat" 이라는 파일로 존재하며, 백도어(Backdoor) 기능을 수행하게 된다.  또한, 내부에는 "Recieve", "os verison",  "memery" 등 오타 문자열이 다수 포함되어 있어, 악성파일 제작자의 자국어가 영어가 아님을 추정해 볼 수 있다. 

 


악성파일은 중국의 특정 C&C서버로 접속을 시도하며, 공격자에 의해서 다양한 추가 명령을 수행할 수 있다.



윈도우용 악성파일인 "matiriyal.exe" 파일은 아이콘을 MS Word 처럼 위장하고 있으며, RAR SFX 로 실행압축되어 있다. 내부에는 "1.exe" 파일이 포함되어 있다.


"1.exe" 파일은 임시폴더(Temp) 경로에 "kbdmgr.exe" 파일을 생성하고 실행하며,  [시작프로그램] 폴더를 숨김속성으로 변경하고, "kbdmgr.lnk" 바로가기 파일을 생성하고 연결하여 재부팅시 자동으로 악성파일이 실행되도록 만든다.


악성파일은 맥용과 윈도우용이 유사한 기능을 수행하도록 제작되어 있고, 윈도우용 악성파일 내부에는 DDoS 라는 문자열 등도 포함되어 있다.


3. 마무리

이처럼 맥용 악성파일이 APT 공격 등에 사용되고 있다는 점을 간과하지 말고, 유사한 형태의 위협에 참고하여 예방할 수 있도록 한다. 무엇보다 사용자 스스로 이와 유사한 보안위협에 노출되지 않도록 각별한 주의와 관심을 가지는 것이 중요하다.

위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/