HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

국내 북한관련 인사 대상 표적 공격 정황 포착
등록일 :
2017.08.31

□ 개요

최근 국내 북한관련 인사를 타깃으로 사용자 정보와 중요 자료를 탈취하는 악성코드가 유포되고 있는 정황을 포착했다. 해당 악성코드는 올 초 국내 표적으로 유포되었던 악성코드의 제작자가 제작한 것으로 추정된다.

 

□ 내용

이번에 발견된 악성코드는 모 대학의 정치학 교수를 겨냥하여 한글 문서를 첨부한 이메일을 통해 유포되었다. 정치학 교수에게 문재인 정부의 탈핵선언을 비판한다.hwp”라는 문서를 전송하는 등 수신자와 관련된 내용을 포함하여 사용자로 하여금 아무 의심없이 첨부 파일을 실행하도록 설계된 표적형 공격이다.



[그림 1] 정치학 교수에게 발송된 해킹 메일

 

특히 이번에 해킹 메일은 일반 첨부파일이 아닌 대용량 파일 전송을 통해 악성코드를 유포하였다. 대용량 파일 전송은 메일에 실제 파일이 첨부된 것이 아닌 링크가 남겨진 형태로 사용자가 링크를 클릭해야 메일 서버에서 다운로드하는 방식이다. 때문에 이메일에 실제 파일이 존재하지 않아 때문에 백신 프로그램의 탐지를 우회할 수 있다. 또한 대용량 파일 전송은 파일 다운로드 기간이 정해져 있어 다운로드 기간이 지나면 더 이상 악성코드를 수집할 수 없게 된다.



​[그림 2] 악성코드 유포 도식도


 

해당 악성 이메일에 포함되어있는 대용량 첨부파일의 링크를 클릭하면 정상 메일서버를 통해 악성 한글파일을 다운로드한다.

 


​[그림 3] 메일에 첨부된 악성 한글 파일


 

해당 악성 한글 파일을 실행하면 내부에 포함되어있는 eps파일을 처리하는 과정에서 취약점이 발생한다. 해당 한글 파일을 실행하면 BIN0001.EPS 파일을 처리한다. eps 파일은 내부에 악성코드를 다운로드하는 쉘 코드와 함께 힙 스프레이(Heap spray) 공격 코드가 삽입되어 있다. 쉘코드가 실행되면 악성코드(head.jpg)를 다운로드한다.



​[그림 4] 악성코드 다운로드

 

 

다운로드된 악성코드가 실행되면 추가로 악성 바이너리(tail3.jpg)를 다운로드해 복호화한 후 메모리에서 실행시킨다.



​[그림 5] 복호화된 악성 바이너리


 

메모리에서 실행된 악성 바이너리는 감염된 사용자의 PC의 주요파일들을 압축하여 클라우드 서버로 전송한다.

 

​[그림 6] 클라우드 서버로 사용자의 중요파일 전송


 

특히 이번에 사용된 악성 한글 파일 제작자는 취약점에 사용하는 쉘코드를 변형하여 백신들의 탐지를 우회하고 있다.“문재인 정부의 탈핵선언을 비판한다.hwp” 이외에도개성공단 재개 절대 안되는 8가지 이유.hwp” 등 사용자 맞춤형으로 첨부파일을 제작하는 것으로 확인 되었다.


올 초부터남북 재래식 무기비교’, ‘5대 악성 사이버 범죄 피해예방수칙등의 이름으로 국내 사용자들을 타깃으로한 표적형 공격이 많이 포착되고 있다. 올 초 국내 타깃 표적공격에 사용된 악성코드의 제작자와 이번에 발견된 악성 파일의 제작자가 동일한 것으로 추정된다. 특히 이번 공격에서는 쉘코드를 변형하는 등 백신을 우회하기 위해 제작된 한글 파일들이 유포되고 있어 사용자의 각별한 주의가 필요하다.

 

 

 

바이로봇 업데이트 내역

 

HWP.S.Exploit

JPG.S.Agent

Trojan.Win32.Agent

외 다수


 

 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top