이스트시큐리티(대표 정상원)는 국내 암호화폐 거래소 관계자를 노린 금융감독원 명의 사칭 APT(지능형지속위협) 공격 정황이 연이어 발견되고 있어, 각별한 주의가 필요하다고 8일 밝혔다.
이번 공격은 주공격 대상인 암호화폐 거래소 관계자가 첨부 파일을 열람하도록 유도하기 위해, 유사수신행위 법률 위반 통지문 등 금융감독원이 발송한 것처럼 보이는 다양한 내용으로 작성되어 있다.
이스트시큐리티 시큐리티대응센터(이하 ESRC)의 분석결과 공격에 사용된 악성 문서파일은 2018년 8월 6일 오전 11시 31분경에 제작되었으며, 문서 내용에 고발인과 피고발인 등 특정인의 신상정보와 관계에 대한 내용을 구체적으로 기재해 공격 대상자가 보다 쉽게 신뢰할 수 있도록 정교하게 꾸며져 있다.
또한 악성 문서파일의 스트림 내부는 16바이트의 XOR 코드로 암호화되어 있으며, 공격 대상자가 문서를 열람하면 셸코드(Shellcode) 작동에 의해 미국에 소재한 특정 호스트로 접속을 시도한다. 이후 어도비 플래시(SWF) 파일로 위장한 악성 DLL 파일이 공격 대상자의 PC에 설치되고, 해커(공격자)의 추가 명령을 수행하는 것으로 분석되었다.
특히 이번 공격에서 사용된 ‘유사수신행위 위반 통지서’ 위장 악성파일 공격 방식은 지난 2017년 6월경 비슷한 사례가 보고된 바 있으며, 당시 공격에서 사용된 악성 문서를 통해 설치된 악성 파일은 2014년 미국에서 발생한 주요 보안 침해사고인 소니 픽쳐스 내부 공격에 사용된 악성코드 계열과 동일한 코드구조를 가지고 있어 더욱 주의가 요구된다.
이 밖에도 ESRC 위협 인텔리전스 분석을 통해 이번 공격에 사용된 악성코드가 2009년부터 특정 정부 지원을 받는 것으로 추정되고 있는 해커가 사용하는 APT 공격 시리즈와 코드 유사성이 매우 높은 것으로 나타났다.
이러한 공격 방식과 코드의 유사성 등에 비추어 볼 때 이번 공격 위협은 국내에서 지속적으로 발생하고 있는 각종 침해사고와 무관하지 않으며, 특히 올해 초부터 수차례 위협 주의보를 내렸던 ▲’오퍼레이션 아라비안 나이트(Arabian Night)’, ▲’오퍼레이션 스타크루저(Operation Starcruiser)’ 등과 연계된 작전으로 판단된다.
현재ESRC에서는 한국인터넷진흥원(KISA)과 협력해 해당 악성 프로그램의 명령제어서버(C2) 정보를 신속하게 공유하고, 국내에서의 접속을 차단한 상태이다.
Copyright ⓒ Acrofan All Right Reserved.
테크
마이크로소프트, 이그나이트 2023에서 AI 미래 여는 혁신 ..
네이버 두 번째 IDC '각 세종', "초대규모 AI , 클라우드 등..
오토모빌리 람보르기니 최초의 플러그인 하이..
로터스의 하이퍼 SUV 엘레트라, 국내 판매 가..