분석 정보/악성코드 분석 정보

도쿄 올림픽 이슈를 악용한 와이퍼 악성코드

알 수 없는 사용자 2021. 7. 28. 15:40

FBI2021년 도쿄 올림픽을 위장한 사이버 공격을 경고한 다음 날, 도쿄 올림픽 이슈와 관련한 파일 명을 지닌 악성코드가 발견됐다.

 

[그림 1] 2021년 7월 FBI Private industry notification

(사진 출처 : https://www.ic3.gov/Media/News/2021/210719.pdf)

 

이번에 발견된 악성코드는 사용자 PC에서 파일을 삭제하는 악성코드이며 도쿄 올림픽 개최에 따른 사이버 공격 등에 대한 피해 신고라는 주제를 파일 명으로 사용했다.

파일 명 : [至急】東京オリンピック開催に伴うサイバー攻生にする被害報告について.exe

 

[그림 2] 악성코드 파일 명

 

해당 악성코드를 실행하면 [그림 3]과 같이 커맨드 창을 띄워 파일 삭제 등의 로그를 출력한다.

 

[그림 3] 악성코드 실행 화면

 

사용자 PC에서 이뤄지는 삭제 명령은 사용자 폴더 하위의 모든 파일 및 폴더 중 [1]의 확장자를 지닌 파일을 대상으로 한다. 특히, 일본 소프트웨어 업체인 JustSystems 사의 일본어 워드프로세서 프로그램 이치타로(Ichitaro)에서 사용하는 확장자도 삭제 대상이므로 주의가 필요하다.

 

[표 1] 파일 삭제 경로 및 확장자

 

그 후 백그라운드에서 [그림 4]와 같이 공격자가 지정한 특정 사이트로 연결을 시도한다. 해당 행위의 정확한 의도는 파악되지 않지만, 사용자 부주의로 해외 성인 사이트에 접속해 악성코드가 다운로드 및 실행된 것처럼 위장하려는 목적으로 추정된다. 하지만 파일 다운로드 등의 추가적인 행위는 확인되지 않았다.

 

[그림 4] 외부 사이트 연결 시도 패킷

 

최근 도쿄올림픽 이슈를 악용해 사용자를 공격하는 악성코드가 발견되고 있으므로 주의가 필요하다. 따라서 출처가 불분명한 메일에 첨부된 파일의 실행을 지양하고, 보안 제품이나 OS를 항상 최신 버전으로 유지하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 5] TACHYON Internet Security 5.0 진단 및 치료 화면