분석 정보/악성코드 분석 정보

[주의]우주항공기술과 세계평화공원 학술회의 내용의 HWP 표적공격

TACHYON & ISARC 2013. 12. 17. 09:44
잉카인터넷 대응팀은  ▶항공우주 분야 연구원, ▲비무장지대(DMZ) 세계평화공원 학술회의 초청장으로 위장한 HWP 취약점 문서를 포함한 다수의 표적공격 정황을 포착했고 일부를 공개하면 다음과 같다.

[HWP 악성파일 바이러스 토탈 진단현황]
https://www.virustotal.com/ko/file/82e7e428a30a3c326731f3a8caf8e6ef814ccef6983b5bf26676280c4a10b1c1/analysis/1387256938/
https://www.virustotal.com/ko/file/2fcd75b636da833e7d408801592f20bfb9443f468252f2d7ab255357ad54760e/analysis/1387256958/

1. 항공우주 분야의 연구 기밀을 노린 사이버 스파이?

먼저 항공우주 분야 연구기관을 노린 공격은 2013년 12월 16일(월) 오전 9시 정각에 발송된 이메일을 통해서 최초 발견됐다. 첨부되어 있는 HWP 문서파일은 취약점을 이용한 악성파일로 분석된 상태이다. 이메일 제목은 인도 대륙간 탄도 미사일(ICBM:Intercontinental Ballistic Missile)과 한국 우주항공기술 이라는 내용을 가지고 있고, 보낸이와 본문에는 국내 특정 언론사의 기자처럼 사칭한 내용이 포함되어 있다.

"印 ICBM 로켓과 韓 우주항공기술.hwp" 악성파일은 취약점에 의해서 "cleanmgr.exe" 이름의 실행형 악성파일을 이용자 몰래 추가 설치한다. 이 악성파일은 2013년 12월 12일 제작된 것으로 확인됐고, 인도의 특정 명령제어(C&C) 서버 "210.56.124.4" 주소로 접속을 시도한다. 

[주의]정보보안예산 워드문서로 위장한 표적공격용 악성파일
http://erteam.nprotect.com/453

[주의]한글 이력서 문서파일로 위장한 표적형 공격 발견

☞ http://erteam.nprotect.com/451


[주의]HWP 악성파일 유포조직 1년 넘게 활동 중인 실체 확인
☞ http://erteam.nprotect.com/447

[주의]외교정책 내용으로 사칭한 악성 HWP 문서파일 발견
☞ http://erteam.nprotect.com/443

[주의]표적공격 유발자 HWP 악성파일 지속 출현 
☞ 
http://erteam.nprotect.com/440

통일연구 및 무역관련 기관을 겨냥한 표적공격 다수 발견
☞ 
http://erteam.nprotect.com/433

새로운 HWP Zero-Day 취약점 악성파일 등장 (표적공격)
☞ 
http://erteam.nprotect.com/360

HWP 문서취약점을 이용한 표적형 악성파일 급증
☞ 
http://erteam.nprotect.com/358

국방 관련 문서파일로 위장한 한글 취약점 악성파일 발견 주의!
☞ 
http://erteam.nprotect.com/357

HWP 문서 0-Day 취약점 이용한 APT 공격발생
☞ 
http://erteam.nprotect.com/297

탈북인 인적사항으로 유혹하는 HWP 악성파일 등장
☞ 
http://erteam.nprotect.com/292

한국정보보호학회 HWP 논문 투고 규정 탈을 쓴 APT 공격
☞ 
http://erteam.nprotect.com/284

악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
☞ 
http://erteam.nprotect.com/272

2. 언론사 기자 사칭을 통한 표적공격 기법

이번에 발견된 표적공격 기법은 실제 국내 특정 언론사의 기자명의를 사칭하였다. 따라서 포털 검색사이트 등에서 해당 언론사의 기자가 작성한 보도자료를 검색할 경우 다수의 기사를 확인할 수 있다.


표적공격용 이메일의 첨부파일로 포함되어 있던 "印 ICBM 로켓과 韓 우주항공기술.hwp" 악성파일이 실행되면 취약점에 따라서 다음과 같은 실제 문서 화면을 출력하여 수신자로 하여금 정상적인 문서로 현혹되도록 만든다.

그리고 "Application Data" 폴더 하위에 "cleanmgr.exe" 이름의 악성파일이 생성되고, 인도의 특정 호스트 "toursurf.net" (210.56.124.4) 주소로 접속하여 악의적인 추가 명령을 대기하게 된다. 추가 명령에 따라서 개인정보 탈취 및 원격제어 등 다양한 보안위협에 노출될 수 있다.



3. DMZ 세계평화공원 학술회의 초청장으로 위장한 HWP 악성파일

다음으로 비무장지대(DMZ) 세계평화공원 학술회의 초청장으로 위장한 악성파일이다. 실제로 오는 19일 '신뢰와 평화, 희망의 DMZ 세계평화공원'을 주제로 서울 플라자호텔 그랜드볼룸에서 학술회의가 개최될 예정이다.

악성파일 제작자는 해당 학술회의의 초청장 관련 문서파일을 변조하여 악의적인 기능을 포함시켜 전파시켰고, HWP 악성파일이 취약점에 의해서 실행될 경우 다음과 같은 실제 초청장 내용이 보여진다.

 
"초청장.HWP" 악성파일이 취약점에 의해서 정상적으로 실행되면 시스템 폴더 경로에 "Triger.exe", "nsldapv.dll", "wshtls.dll" 이름의 3가지 악성파일이 생성된다.


악성파일들은 컴퓨터 정보와 키보드 입력 정보 등을 탈취하여 해외의 특정 이메일 주소로 발송하는 탈취 기능을 수행한다.


HWP 문서 취약점을 통한 이번 공격은 국내 특정 기관들을 상대로 은밀하게 공격되고 있으며, 잉카인터넷 대응팀은 자체 모니터링을 통해서 긴급 대응이 완료된 상태이다. 더불어 관련 정보들은 유관기관에 공유하여 신속하게 협력하고 있다.

이메일 첨부파일로 HWP 문서파일을 수신할 경우 악성여부를 의심하고, 신뢰하기 어려운 경우 절대로 열어보지 않는 것이 안전하고, 한컴 오피스 이용자들은 반드시 최신 업데이트를 설치하여 이미 알려진 보안취약점을 제거할 수 있도록 하여야 한다.

3. 마무리

지능형 표적공격은 특정 기업이나 기관을 상대로 지속적인 공격을 수행한다. 대다수가 문서파일의 보안 취약점을 이용하지만 Zero-Day 공격이 아닌 경우 성공확률이 상대적으로 낮기 때문에 문서파일처럼 위장한 악성파일도 주의를 해야 한다. 따라서 이용자들은 확장자에 이상한 점이 없는지 세심하게 살펴보는 보안습관이 중요하다.  

위와 같이 다양한 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.


※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

http://avs.nprotect.com