Home > 전체기사

北 ‘탈륨’ 추정 조직, 코로나19 백신 이슈 이용한 악성 HWP 파일 유포

  |  입력 : 2020-12-20 10:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
국내 언론사 기사 제목과 본문 이용해 최근 이슈인 백신 관련 내용으로 사용자 현혹
본문에 투명한 OLE 개체 삽입해 사용자가 무심코 클릭하도록 유도
공격 피하려면 연결된 파일 실행 여부 묻는 창에서 ‘닫기’나 ‘취소’ 눌러야


[보안뉴스 이상우 기자] 최근 코로나19 확산세가 전 세계적으로 매우 빠른 상황이다. 미국의 경우 일주일간 하루 평균 확진자 수가 21만 8,633명에 이를 정도며, 국내에서도 일주일 평균 하루 확진자 976명(18일 기준)으로 늘어나는 등 사회적 거리두기 3단계 진입을 고심하고 있는 상황이다. 이러한 가운데 영국에서는 백신 접종을 시작했으며, 미국 식약처도 최근 모더나 백신에 대해 긴급사용 승인을 하는 등 치료 및 예방에 관한 이슈까지 등장하고 있어 전 세계인들의 이목이 집중되고 있다.

▲언론사 기사 제목과 본문을 이용한 악성 한글파일. 본문에 투명 OLE 개체를 삽입해 사용자가 무심코 클릭하도록 유도한다[자료=이스트시큐리티]


이러한 이슈를 악용하면서 교묘한 문서 내용으로 사용자를 속이는 피싱 공격이 발견돼 사용자들의 주의가 필요하다. 해당 조직은 국내 한 언론사의 뉴스 내용을 그대로 가져와 악성 HWP 파일을 제작해 유포하고 있어 사용자가 문서 제목을 검색할 경우 마치 진짜 내용인 것처럼 속이고 있다.

이스트시큐리티 ESRC(시큐리티대응센터)에 따르면 탈륨으로 추정되는 조직이 ‘코로나19 재감염 사례, 백신 무용지물? 그렇게 단순하지 않아’라는 제목의 악성 문서 파일을 이용한 피싱 공격을 시도하고 있다. 문서는 국내 한 의학전문 매체가 지난 9월 보도한 내용과 제목을 그대로 사용하고 있으며, 본문 상단에는 보건복지부 MI(로고)를 추가해 마치 기관에서 나온 문서인 것처럼 꾸미고 있다. 내용 역시 재감염 사례가 보고된 이후 백신의 효과에 대한 의구심과 감염내과 전문가의 인터뷰 내용을 담고 있어, 백신 투약이 진행되고 있는 현재 시점에서 사용자의 관심을 끌 만한 소재다.

해당 파일은 OLE 개체를 이용한 공격을 수행한다. 사용자가 문서 내에 포함된 OLE 개체를 클릭해 실행할 경우 비주얼 베이직 스크립트(VBS) 명령어와 파워셸 명령어를 통해 국내 특정 명령제어(C&C) 서버와 통신을 시도해 추가적인 악성행위를 한다. 해당 서버는 국내 호스팅 업체를 이용하는 채권추심 서비스 민간 사이트로, 관리가 허술한 웹 서버를 노려 관리자 몰래 공격을 위한 공간을 서버 내에 구축한 것으로 보인다.

HWP 파일을 악용한 사이버 공격은 국내 사용자를 대상으로 하는 공격에서 주로 쓰이며, 특히 공공, 교육 관련 기관이나 이와 연관된 민간기업의 경우 이 형식의 파일을 주로 사용한다. 특히, 문서 내용을 보건과 관련한 주제로 꾸민 것으로 보아 공격자는 이와 관련된 기관 및 기업 종사자를 노린 스피어피싱을 시도한 것으로 볼 수 있다.

해당 공격에 사용된 객체연결삽입(OLE) 기능의 경우 문서 내에서 다른 파일을 포맷 변환 없이 실행할 수 있도록 해주는 기능으로, VBS 명령어 파일까지 실행할 수 있다. 과거 공격자가 HWP 파일을 이용한 공격 시에는 ESP 파일 취약점을 주로 사용했으나, 한글과컴퓨터의 최신 버전에서는 해당 기능이 차단된 터라 최근 OLE 개체를 이용한 공격이 주로 시도되고 있다.

사용자가 문서 내에 포함된 악성 OLE 개체를 클릭할 경우 ‘보안 경고’ 창을 통해 연결된 파일을 열 것인지 물어본다. 이 경우에도 사용자가 ‘열기’나 ‘한 번 허용’을 누르기 전까지는 연결된 파일이 실행되지 않기 때문에 출처가 불분명한 파일에서 이를 요구할 경우 ‘닫기’나 ‘취소’를 누르는 것이 좋다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)