보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

북한 해커조직, 대용량 악성 링크 파일 이용한 사이버 공격 감행

입력 : 2023-05-19 09:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
최근 한미정상회담의 워싱턴선언과 비정기 세무조사 등 관심 있는 주제로 파일명 설정
2월 공정거래위원회 사칭 유포하는 대룡량 링크 파일에 이은 공격 활동 포착


[보안뉴스 김영명 기자] 최근 국내의 정치적, 사회적 이슈를 이용한 대용량 링크 파일 공격 등 ‘바로가기(LNK)’ 파일을 악용한 대규모 공격 활동이 포착돼 사용자들의 주의가 필요하다. 이번 공격은 올해 2월 북한의 지원을 받는 해커조직이 공정거래위원회 사칭 메일로 유포하는 대용량 LNK 파일에 이은 공격으로 파악되고 있다.

[이미지=gettyimagesbank]


이스트시큐리티 시큐리티대응센터(이하 ESRC)의 분석에 따르면, 공격자들은 한미정상회담의 워싱턴선언과 비정기 세무조사 등 사용자들이 관심을 가질 만한 주제로 파일명을 설정했다. 특히, 악성 파일 내부에 의미 없는 더미값을 포함시켜 용량을 증가시킨 대용량 LNK 파일을 사용했다는 특징이 있다.

‘워싱턴선언, 북핵 위협 대응에 얼마나 도움이 될까.LNK’라는 이름의 파일의 경우 용량이 50MB로, 내부에 무의미한 0x2019값들이 포함돼 있다.

▲북한발 악성 바로가기 파일 속성[자료=이스트시큐리티 ESRC]


사용자가 LNK를 클릭하면 PowerShell 스크립트가 실행되며 ‘워싱턴선언, 북핵 위협 대응에 얼마나 도움이 될까.hwp’ 이름의 디코이 파일과 함께 백그라운드에서는 추가 쉘코드(ShellCode)를 내려받는 기능을 수행하는 ‘230509.bat’ 파일이 자동 실행된다.

공격자는 HWP 디코이 파일 내용에 현재 실제로 운영 중인 온라인 저널리즘 매체의 블로그 포스팅을 그대로 사용해 사용자들의 의구심을 낮추는 치밀함을 보이기도 했다.

▲HWP 디코이 파일 및 실제 미디어 칼럼(좌부터)[자료=이스트시큐리티 ESRC]


또한, ‘비정기 세무조사 통지서.hwp.lnk’ 파일은 ‘22귀속_부가가치세_면세사업자_사업장_현황신고.rar’ 압축파일 내 2개의 정상적인 한글 파일(HWP)과 함께 유포됐다. 해당 LNK 파일 역시 0x90 더미값이 다수 포함된 약 1GB의 대용량 파일이다. 사용자가 파일명에 속아 해당 LNK를 실행하는 경우, ‘비정기 세무조사 통지서.hwp’ 디코이 파일과 함께 악성정보 탈취 및 다운로드 스크립트가 실행된다.

▲국세청 내용이 담긴 디코이 한글문서 파일[자료=이스트시큐리티 ESRC]


ESRC 관계자는 “최근 대용량 LNK 파일을 이용한 북한 해커조직의 공격이 증가하고 있으며, 흥미를 유발하는 파일명을 설정해 사용자들의 클릭을 유도한다”며 “사용자들은 파일 실행 전 파일 확장자를 확인하고, 용량이 비정상적으로 큰 LNK 파일은 악성파일의 가능성을 의심하고 주의할 필요가 있다”고 밝혔다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)