분석 정보/악성코드 분석 정보

[이슈]항공사 내용으로 둔갑한 대만 APT 전격해부

TACHYON & ISARC 2012. 7. 10. 11:28
1. 개요

잉카인터넷 대응팀은 2012년 04월 경 시간차를 이용한 스토킹 형태의 대만 APT 공격의 실체를 최초 공개한 바 있고, 관련된 정보를 지속적으로 추적 수집하고 있는 상황이다. 그런 가운데 최근 특정 항공사의 내용으로 교묘하게 조작하여 대만 행정조직을 표적으로 하는 새로운 APT 공격의 정황과 단서를 포착하였다. 특징적으로 공격자는 대만의 민간 항공사인 에바 항공(EVA AIR)과 또 다른 캐세이 패시픽 항공(Cathay Pacific AIR)사의 항공권 내용 등으로 위장하여 대만의 '행정원 농업위원회''행정원 위생서 국민건강국' 등의 내부 공직자를 표적삼아 연쇄적 공격을 시도했다. 공격에 사용된 악성파일은 항공권 영수증 내용처럼 파일명을 위장하고 있고, 아이콘을 폴더 모양으로 위장하여 사용자로 하여금 폴더 열기를 하도록 현혹시키고 있다.
 
현재 잉카인터넷 대응팀은 이번에 발견된 공격이 기존의 대만 행정조직을 표적으로 무한반복 진행하였던 APT 공격의 연장선 안에 있을 것으로 추정하고 있으며, 유사 보안위협에 대한 광범위한 실시간 모니터링 상태를 유지하고 있다.


2. 항공사 이메일로 위장한 APT 공격

 
[이슈]시간차를 이용한 스토킹 형태의 대만 APT 공격
http://erteam.nprotect.com/270

국내 겨냥 최신 APT 공격자 밀착추적 및 집중해부
http://erteam.nprotect.com/251

국내 유명 기업 표적 공격(APT)형 수법 공개
http://erteam.nprotect.com/249

이전에도 전격 공개한 바 있는 대만 정부조직에 대한 표적공격 사례는 최근까지도 끊임없이 반복되고 있으며, 이러한 위협의 실체는 외부에 쉽게 공개되기 어렵다는 점에서 유사한 공격 트랜드 파악과 사전 방어하는데 중요한 참고자료로 활용될 수 있다.

먼저 2012년 07월 03일 대만 에바 항공의 전자 고지서 서비스 발신계정으로 대만 행정원 농업위원회(http://www.coa.gov.tw)의 국제행소과(마케팅과)에 소속된 특정 공직자에게 "에바 항공기 전자탑승권 결제성공 고지"라는 제목과 내용 등으로 조작된 이메일에 악성파일을 첨부한 공격을 감행하였다.

해당 이메일에는 "69380236_10107_receipt.rar" 라는 압축파일이 첨부되어 있고, 내부에는 "69380236_10107_receipt.exe" 파일명의 악성파일이 포함되어 있다.


다음날인 2012년 07월 04일 동일한 악성파일이 첨부된 형태로 이번에는 캐세이 패시픽 항공사의 서버 발신계정으로 위장하여 대만 행정원 위생서 국민건강국(http://www.bhp.doh.gov.tw)의 특정 공직자에게 "캐세이 패시픽 항공기 홍콩 특별요금 확인서"라는 제목과 내용 등으로 조작된 이메일을 송부하였다.


서로 다른 항공사 발신자 계정이지만 비슷한 시기에 유사한 기법과 동일한 악성파일으로 대만의 행정조직을 표적으로 공격이 감행된 점을 보아 공격자는 동일인 또는 동일조직으로 추정된다. 각각의 이메일에 첨부된 압축파일은 구조 자체가 100% 동일하다.


"69380236_10107_receipt.rar" 압축파일을 해제하면 내부에 폴더 아이콘으로 위장한 실행파일(EXE)이 포함되어 있다.


"69380236_10107_receipt.exe" 파일이 실행되면 임시폴더(Temp) 경로에 숨김속성으로 "atievxx.exe" 라는 악성파일이 추가 생성되고 실행된다.


또한, 처음 실행된 경로에 "69380236_10107_receipt" 라는 폴더를 생성하고 내부에 "69380236_10107_receipt.pdf" 라는 문서파일을 생성한다. 이것은 마치 해당 파일이 정상적인 문서파일처럼 보이도록 하기 위한 일종의 속임수 수법이다.


"69380236_10107_receipt.pdf" 문서에는 암호가 걸려 있기 때문에 정상적인 내용을 볼 수 없는데, 최근 APT 공격에 이와같이 암호가 걸린 문서를 보이도록 하는 경우가 종종 발견되고 있다. 따라서 문서(PDF, HWP, DOC, XLS 등)파일을 수신하였는데, 암호를 입력하라는 창이 나올 경우 악성파일일 가능성을 의심하거나 신속하게 발신자에게 해당 메일의 실제 발신여부 등을 유무선 등으로 확인하는 노력도 좋은 방법이다. 만약 악성파일이 포함된 이메일일 경우에는 악성파일 제거조치 및 이메일 암호 변경, 개인정보 변경 등의 후속 조치와 신뢰할 수 있는 보안업체에 신고하는 자세도 중요하다.
 


"atievxx.exe" 악성파일은 홍콩의 특정 호스트로 접속하여 공격자의 추가 명령을 대기하게 되며, 원격제어 등을 통한 다양한 정보 유출 및 Backdoor 기능 등의 보안위협에 노출될 가능성이 높다.


3. 마무리

이처럼 대만 행정조직을 노린 APT 공격이 나날이 지능화되고 있다는 점을 참고하고, 다양한 방식으로 악성파일이 유입될 수 있다는 점을 유념해야 한다. 또한, 무엇보다 사용자 스스로 이와 유사한 보안위협에 노출되지 않도록 각별한 주의와 관심을 가지는 것이 중요하다.

위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/