Home > 전체기사
정부 후원 해커조직 라자루스, 인천시 감염병관리지원단 사칭 사이버공격
  |  입력 : 2020-04-01 16:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
라자루스(Lazarus) APT 그룹 추정, HWP 문서파일 활용 스피어 피싱 공격 등장
인천시 감염병관리지원단 사칭한 정교한 이메일 활용


[보안뉴스 원병철 기자] 인천광역시 감염병관리지원단을 사칭한 악성 이메일(스피어 피싱)공격이 발견되어 사용자들의 각별한 주의가 요구된다. 보안전문기업 이스트시큐리티(대표 정상원)는 공격자들의 ‘코로나’ 키워드를 활용한 공격이 최근 집중적으로 발생 중이며, 특히 사용자들의 호기심과 심리적 공포를 자극하는 사회공학적 기법이 점점 정교해지고 있다고 1일 밝혔다.

▲인천시 감염병관리지원단 사칭, 코로나 확진자 접촉 동선 제출 요구하는 이메일 본문[자료=이스트시큐리티]


이번에 유포된 이메일은 ‘[긴급 조회]’라는 발신지와 함께 ‘인천광역시 코로나바이러스 대응’이라는 제목으로 유포됐으며, 발신자 메일 주소 역시 icdc@icdc.incheon.kr로 제작돼 실제 인천시 소속의 감염병관리지원단이 보낸 것처럼 꾸미고 있다.

공격자는 이메일 수신자에게 특정 집회 참석자 중 코로나19 바이러스 확진자가 발생했고, 이메일 수신자 역시 동일 집회에 참석했다는 신고가 있다고 안내하고 있다. 또한, 행적 파악을 위해 특정 시간대 동선을 첨부된 양식 파일로 작성해 제출하라고 안내하며 첨부파일 실행을 유도한다. 사용자가 첨부된 HWP 문서파일을 실행하면 ‘긴급 조회’ 제목의 한글 문서가 실행되며, 동시에 취약점을 악용해 특정 해외(이란)의 명령제어(C2) 서버를 통해 크롬 업데이트 모듈처럼 속성을 위장한 악성코드가 은밀히 추가 작동된다.

▲악성 문서 파일이 실행된 후 보이는 모습[자료=이스트시큐리티]


사용자 PC에 실행된 악성코드는 파일 및 폴더 정보를 수집하며 추가 다운로드 명령을 통해 백도어(Backdoor) 등의 각종 악성파일을 몰래 설치해 잠재적인 위협에 노출될 수 있게 된다.

이스트시큐리티 ESRC 센터장 문종현 이사는 “최근 코로나19 바이러스 관련 방역 활동이 코로나 확진자 동선과 접촉자 중심으로 이뤄지고 있는 것을 대다수 국민이 인지하고 있기 때문에 이러한 국가기관 사칭 이메일에 사용자가 쉽게 위협에 노출될 수 있다”며 “코로나19 바이러스 관련 이메일 수신 시 첨부파일 열람에 특별히 주의를 기울여야 한다”고 당부했다. 더불어 “이번 공격이 기존 정부 후원을 받는 APT 조직으로 알려진 ‘라자루스(Lazarus)’로 강하게 의심되고 있어 상세한 분석이 진행되고 있다”고 강조했다.

한편 알약에서는 해당 악성코드를 ‘Exploit.HWP.Agent, Trojan.Agent.344064F, Trojan.Agent.422912F’로 탐지·치료하고 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상