분석 정보/악성코드 분석 정보

[주의]미국 항공우주산업체를 정조준한 표적공격(APT) 발견

TACHYON & ISARC 2012. 8. 6. 10:25
1. 개요


잉카인터넷 대응팀은 마릴린 먼로(Marilyn Monroe) 화면보호기로 교묘하게 위장되어 있는 악성파일을 발견하였다. 해당 악성파일은 미국 캘리포니아에 본사를 두고 있는 특정 "항공우주기업의 내부 직원을 겨냥"하고 있으며, 표적이 된 직원은 전문분야 30여년 이상의 경력을 가진 수석 공학 전문가로 확인되었다. 공격자는 마릴린 먼로와 관련된 제목과 내용 등을 포함한 이메일로 공격을 시도하였으며, 미공군 공식 이메일 계정(af.mil)과 미항공우주국(NASA) 내용 등을 직접적으로 언급하는 등 수신자로 하여금 최대한 신뢰하도록 조작하고 있다. 표적에 사용된 기업은 민간 비영리 법인으로 미국 공군에 대한 연방정부 재정지원 연구개발 센터 등도 운영하고 있으며, 미사일 시스템 센터와 같은 군수물자 단체와도 긴밀하게 협력하는 산업체로 알려져 있다. 

공격자는 불특정다수가 아닌 특정 기업인을 정조준하였고, 항공우주산업 등과 같이 국가적으로 매우 중대하고 민감한 자료를 다루는 곳을 겨냥했다는 점에서 지능적인 표적공격(APT)의 한 일환으로 추정되고 있다. 


2. 악성파일 감염 수법

악성파일은 아래와 같은 이메일로 전송이 되었고, 마릴린 먼로와 관련된 내용을 포함하고 있다. 이메일에 첨부되어 있는 "MarilynMonroe2012.zip" 압축파일은 내부에 화면보호기(Screen Saver)처럼 보이도록 하기 위해서 .SCR 확장자를 가진 악성파일을 포함하고 있다.


첨부되어 있던 압축파일 내부에는 마릴린 먼로 얼굴모습의 아이콘을 가진 악성파일이 "MarilynMonroe2012.scr" 이라는 파일명으로 존재하며, 사용자가 해당 파일을 실행할 경우 정상적인 화면보호기 기능이 작동한다. 하지만 이것은 사용자를 속이기 위한 과정일 뿐, 실제로는 사용자 몰래 컴퓨터에 악성파일이 추가 설치된다. 


악성파일이 실행되면 우선 임시폴더(Temp)에 정상적인 마릴린 먼로 화면보호기를 생성하고 실행시킨다. 이때 보여지는 화면보호기는 아래와 같다.

 

화면보호기는 다양한 마릴린 먼로의 이미지를 순차적으로 보여주며, 2004년도에 제작된 정상적인 마릴린 먼로 화면보호기를 악성파일 제작자가 도용한 상태이다.

화면보호기가 작동하면서 다음과 같은 악성파일이 사용자 컴퓨터에 몰래 설치된다. 3개의 파일이 각각 다른 파일명으로 각기 다른 경로에 생성되지만 모두 동일한 파일이다.

- C:\Windows\System32\browser32.exe
- C:\Windows\System32\Dllcache\c77ux.sys
- C:\Windows\Installer\d287ee.msi

설치된 악성파일은 인터넷 익스플로러(iexplore.exe)를 이용해서 인도의 특정 호스트로 접속을 시도하는데, 해당 IP는 Myftp.org 서비스이다. (hostlist.myftp.org/search?)


3. 마무리

상기와 같이 업무 이외의 내용으로 악성파일이 은밀히 배포될 수 있다는 점을 명심하고, 악의적 실행파일로 사용되는 형태가 EXE 뿐만 아니라 SCR 확장자도 빈번하게 이용되고 있다는 점을 인지하고 이메일 첨부파일 수신 시 주의깊게 살펴보는 습관이 필요하다.

APT 공격이 나날이 지능화되고 있다는 점을 참고하고, 다양한 방식으로 악성파일이 유입될 수 있다는 점을 유념해야 한다. 또한, 무엇보다 사용자 스스로 이와 유사한 보안위협에 노출되지 않도록 각별한 주의와 관심을 가지는 것이 중요하다.

위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/