상세 컨텐츠

본문 제목

[주의] 유명 인터넷 커뮤니티 자료실 통해 악성파일 유포돼

POST

by ESTsoft 2020. 6. 23. 17:54

본문

지난 6 22일 오전, 국내 유명 인터넷 커뮤니티 자료실을 통해 마치 유용한 프로그램처럼 위장한 악성 파일이 불특정 다수에게 유포됐는데요.

해당 악성 파일이 포함된 게시물은 22일 오전 8 49분경 등록되었고, 당일 기준 약 1,600여 명이 조회한 것으로 확인되었습니다. 악성 파일은 
시력 보호 프로그램을 사칭하고 있으며, 23일 오전 기준 게시물은 삭제된 상태입니다.

 

 

유명 인터넷 포럼 자료실에 등록된 악성파일 화면 (제공=이스트시큐리티)

 

이에 대해 이스트시큐리티 ESRC(시큐리티대응센터)는 공격자가 기존의 정상 프로그램을 임의로 변조해 파일 내부에 악성코드를 추가로 삽입하였고, 설치 및 삭제 과정에서 악성코드가 은밀히 작동되도록 정교하게 기능을 추가한 것으로 분석했습니다.

만약 해당 자료실에 등록된 프로그램을 다운로드해 실행하게 될 경우, 자신도 모르게 악성 프로그램에 감염돼 잠재적인 사이버 위협에 노출될 우려가 있는데요. 다만, 해당 악성코드가 윈도 64비트 OS 기반으로 제작되어 사용 환경에 따라 다소 차이가 발생할 수 있고, 변종에 따라 32비트도 감염될 수 있습니다.

 

 
 

이번 악성 파일 공격의 주체는? 

이번 악성 파일을 심층 분석한 결과, 특정 정부가 배후로 지목된 일명 라자루스(Lazarus) 그룹의 소행으로 조사되었는데요. 이들은 美 재무부로부터 제재 대상인 해킹 조직으로, 미국에선 히든 코브라라는 이름으로도 통용되며, 최근까지 국내외에서 매우 활발한 사이버 위협 활동을 펼치고 있습니다. 국내는 주로 비트코인 등 암호 화폐 거래 관계자를 표적으로 삼고 있고, 해외는 항공 및 군 관련 방위산업체 분야를 주요 공격대상으로 위협 활동을 펼치는 특징이 있습니다.

대표적으로 지난 4 1 감염병관리지원단을 사칭해 인천광역시 코로나바이러스 대응이라는 이메일 제목으로 악성 HWP 파일을 첨부해 공격한 사례가 이번 악성 파일과 코드 유사도가 매우 높은 것으로 분석되었는데요. 이러한 공격 수법은 2020년 상반기에 향상되고 있는 점에서 주목됩니다또한, 블록체인 소프트웨어 개발 계약서’, 비트코인 투자 카페 강퇴&활동정지’, 국내 비트코인 거래소 지원서 사칭’, 부동산 투자문건 사칭 등도 이번 위협의 연장선으로 조사되었습니다.

 

 

 

이에 이스트시큐리티 ESRC센터장 문종현 이사는 라자루스 조직원들은 스피어 피싱 기반 APT 공격뿐만 아니라, 유명 인터넷 커뮤니티 자료실에 악성 파일을 심는 과감한 공격 전술을 구사하고 있어 커뮤니티 이용자의 각별한 주의가 요구된다고 지적하며, “또한 이 악성 파일은 이스트시큐리티에서 올해 상반기 공개했던 라자루스 공격 관련 여러 악성 파일과 코드 유사성이 거의 일치한다고 설명했습니다.
 
현재 이스트시큐리티는 자사 백신 프로그램 '
알약(ALYac)'에 이번 악성 파일을 탐지, 차단할 수 있도록 긴급 업데이트를 완료했으며, 이와 동시에 피해 방지를 위해 관련 부처와 긴밀한 대응 공조 체제도 가동하고 있습니다.

 

관련글 더보기

댓글 영역