2024-03-19 20:30 (화)
기업 거래내역 엑셀 문서파일로 위장한 APT 표적공격 포착...주의
상태바
기업 거래내역 엑셀 문서파일로 위장한 APT 표적공격 포착...주의
  • 길민권 기자
  • 승인 2018.08.17 13:23
이 기사를 공유합니다

ESRC "이번 공격 벡터, 최근 수개월 사이 한국에 집중되고 있어" 주의 당부

▲ 공격 백터 흐름도. ESRC 제공.
▲ 공격 백터 흐름도. ESRC 제공.
지난 8월 10일경 마치 특정 기업의 거래내역 엑셀문서처럼 위장한 악성코드가 스피어피싱(Spear Phishing) 기법으로 유포된 정황이 포착됐다. 기업들의 각별한 주의가 요구된다.

이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직 시큐리티대응센터(이하 ESRC는 "공격에 활용된 자료들을 조사 중에 몇 가지 흥미로운 단서를 발견했다. 공격자는 자신의 신분을 숨기기 위해 마치 한국의 특정 포털사처럼 유사한 정보를 사용했으며, 세무회계 사무소 담당자로 위장했다"며 "또한 한국에서 주로 이용되는 압축 프로그램을 이용했고, 엑셀 문서처럼 보이게 하기 위해 2중 확장자 기법을 활용했다"고 설명했다.

ESRC 분석에 따르면, 공격자는 특정 기업의 거래내역서 파일처럼 위장한 악성파일을 전송하게 된다. 이 파일은 마치 MS 엑셀 파일처럼 보이도록, 아이콘이 교묘히 설정되어 있으며 확장명도 '파일명.xlsx (빈공간).exe' 형태로 제작했다.

이처럼 파일명에 다중 확장자를 설정할 경우 윈도우즈 운영체제 디폴트 옵션(알려진 파일 형식의 파일 확장명 숨기기)에 따라 최종 실행파일(.EXE)확장자는 보이지 않고, 엑셀(.XLSX) 문서 확장자만 보이게 된다.

ESRC 측은 "이러한 위협벡터는 매우 고전적인 모델이지만 누구나 쉽게 현혹될 수 있으므로 기본적 보안성 강화를 위해 윈도우 운영체제의 폴더옵션은 가급적 확장명을 숨기지 않도록 하는 설정을 권장한다"고 전했다.

엑셀 문서처럼 위장한 악성파일은 한국시간 기준으로 2018-08-09 02:44 제작이 되었고, VMProtect 프로그램으로 패킹이 되어 있다.

이 파일이 정상적으로 작동하게 되면, 해외 웹 호스팅 서버로 접속을 시도하고, '1.txt' 파일로 등록되어 있는 배치파일 명령을 수행하게 된다.

'1.txt' 파일에는 운영체제 32비트와 64비트로 플랫폼 명령을 구분했고, '1.bat' 파일로 다운로드되어 실행된다.

배치 파일 명령이 실행되면 각 플랫폼에 따라 'setup.txt', 'setup2.txt' 파일을 다운로드해, 'certutil' 명령을 통해 CAB 파일로 변환하게 된다.

더불어 이런 추가 명령과 함께 실행된 컴퓨터에는 정상적인 엑셀 문서를 보여줘 이용자는 정상적인 문서로 보이게 된다.

정상적인 엑셀 화면이 보여지는 과정에도 실행된 드롭퍼는 계속 명령제어(C2) 서버로 접속을 시도하고, 만약 정상적으로 통신이 성공하면 배치파일 명령에 따라 'setup.txt', 'setup2.txt' 파일을 다운로드하게 된다.

통신 및 명령이 정상작동하면 공격자가 구축한 서버에서 'setup.txt' 파일을 다운로드해 'setup.cab' 파일로 복호화하게 된다.

'setup.txt' 파일은 내부에 다음과 같이 서명파일(CERTIFICATE)처럼 설정된 Base64 코드가 인코딩된 상태로 포함되어 있다.

복호화된 CAB 파일에는 'install.bat', 'spoolsve.exe', 'winniet.ini' 3개의 파일이 포함되어 있으며, 'install.bat' 파일에 의해 추가적인 명령이 진행된다.

공격자는 배치파일을 통해 다양한 방식으로 공격에 활용하고 있으며, 레지스트리 Run 값에 등록해 재부팅 후에도 자동실행되도록 만든다.

'spoolsve.exe' 파일은 말레이시아의 특정 호스트(111.90.138.41)로 접속을 시도해 명령을 대기한다. 해당 서버의 아이피 주소는 'winniet.ini' 파일에 인코딩되어 숨겨져 있다.

감염된 컴퓨터는 조건에 따라 정보 수집 및 추가 명령이 작동하게 된다. 또한 공격자의 의도에 따라 추가 악성 파일이 설치될 수 있게 된다.

ESRC는 "이번 공격 벡터가 최근 수개월 사이 한국에 집중되고 있다는 것을 확인했으며, 주로 암호화페 내용, 금융분야 이력서 등의 변종이 확인된 바 있다. 또 공격자가 사용한 일부 전략과 기술 중에는 정부지원 해커(State-sponsored Actor)로 추정되는 흔적들이 일부 오버랩되고 있다"고 주의를 당부했다.

국내 최고 정보보안 분석가들의 사이버위협 인텔리전스 정보 공유의 장 ' K-ISI 2018 대한민국 정보보호 인텔리전스 컨퍼런스'가 오는 9월 10일 한국과학기술회관 국제회의실에서 정부, 공공, 금융, 대기업 보안실무자 등 300명 이상이 참석한 가운데 개최된다.

데일리시큐가 주최하는 이번 <K-ISI 2018 대한민국 정보보호 인텔리전스 컨퍼런스>에서는 국내 최초 공개되는 사이버 공격자들을 분석한 내용들과 함께 올해 발생한 국내 침해사고 분석 내용, 정부 후원 APT 해킹조직 연구사례, 한글문서를 이용한 사이버 공격조직 분석 내용, 산업제어시스템(ICS/SCADA) 및 AIRGAP 위협사례, 최신 첨단무기 해킹과 우리 군의 대응 방안, 최신 글로벌 사이버 공격 동향 및 진화하는 봇의 대응 등을 주제로 국내 최고 보안연구가들의 발표가 있을 예정이다.

한편 로비에서는 사이버위협 대응 및 침해사고 대응, 정보보안 인텔리전스 전문 국내외 정보보안 기업들이 참여하는 전시회도 함께 열린다. K-ISI 2018 전시회 참가를 희망하는 기업은 데일리시큐 길민권 기자(mkgil@dailysecu.com)에게 문의하면 된다.

-K-ISI 2018 사전등록: http://conf.dailysecu.com/conference/k-isi/2018.html

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★