전체기사 최신뉴스 GAM 라씨로
KYD 디데이
산업 ICT

속보

더보기

[해킹 경보] 코로나19 '마스크' 관심 노린 APT 공격 발견

기사입력 : 2020년04월22일 10:13

최종수정 : 2020년04월22일 10:13

코니(Konni) 조직 소행 추정

[서울=뉴스핌] 김지완 기자 = 마스크 관련 정보 문서로 위장한 악성 문서 파일이 발견돼 주의가 필요하다. 이 악성 문서를 열어볼 경우 사용자 PC에 악성코드가 설치되고 주요 정보가 탈취될 수 있다.

보안 전문 기업 이스트시큐리티은 마스크 관련 정보 문서로 위장한 악성 문서가 유포되고 있으며, 이 문서는 특정 정부 후원을 받는 것으로 추정되는 '지능형 지속 공격(APT, Advanced Persistent Threat)' 공격 그룹 코니(Konni) 소행으로 추정된다고 22일 밝혔다.

[서울=뉴스핌] 김지완 기자 = 마스크 관련 정보 문서로 위장한 악성 문서 파일.[제공=이스트시큐리티] 2020.04.22 swiss2pac@newspim.com

APT 공격 그룹 '코니'는 진난 몇 년간 꾸준히 국내를 타깃으로 APT공격을 수행하고 있으며, 이스트시큐리티 시큐리티대응센터(ESRC)에서는 이미 수차례 이 조직의 위협을 확인하고 경고한 바 있다.

이 조직은 2020년에도 지속해서 APT 공격을 시도하고 있으며, 실제로 올 1분기 러시아어로 작성된 '북한의 2020년 정책 문서', 그리고 '일본 2020년 패럴림픽 관련 자선단체 문서' 사칭, 'Keep an eye on North Korean Cyber'라는 악성 doc 문서를 활용한 공격 등을 진행한 것으로 밝혀졌다.

문종현 ESRC 센터장 이사는 "이번에 발견된 마스크 관련 정보로 위장한 악성 문서는 MS워드(MS- Word)로 작성되었고, 한국어 기반의 시스템 환경에서 4월 21일에 생성된 것으로 추정된다"며  "활용된 공격 벡터와 코드 기법 등을 분석한 결과 코니(Konni) 조직의 공격임을 확인했다"고 밝혔다.

새롭게 발견된 악성 문서는 'guidance'라는 파일명을 사용하고 있다. 이 악성 문서를 열어보면 최초에는 문서 내용이 제대로 보이지 않으며, 문서 내용 확인을 위해 상단에 나타난 '콘텐츠 사용' 버튼을 클릭하도록 유도한다.

만약 '콘텐츠 사용' 버튼을 클릭할 경우 최근 이슈가 되고 코로나19 바이러스 관련 마스크 소개 내용을 담은 문서를 보여주며 악성코드 감염 의심을 회피한다.

하지만 실제로는 공격자가 미리 설정해둔 악성 매크로 코드가 동작하며 사용자 몰래 자동으로 추가 파일을 실행한다. 이후 공격자의 명령제어(이하 C2)서버에서 추가로 악성 파일을 다운로드해 사용자 정보를 탈취하는 기능을 가진 최종 악성코드를 설치한다.

악성코드가 설치될 경우 공격자가 지정한 FTP로 감염된 PC의 시스템 정보와 실행 중인 응용프로그램, 관련 작업, 프로세스 목록 정보가 업로드되며, C2 서버를 통한 추가 공격 명령도 수행할 수 있게 된다.

ESRC는 악성코드 설치과정에서 공격자가 탐지와 분석을 회피하기 위해 커스텀 Base64 코드를 적용했고, 이는 기존 코니 조직이 사용한 방식과 동일한 것으로 분석했다.

문 이사는 "코니 조직은 2014년부터 국내외 특정 조직을 타깃으로 사회공학적 기법을 활용한 다양한 APT 공격을 수행해왔다"며 "이 조직은 타깃이 관심을 가질만한 사회적 이슈나 주제를 공격에 활용하는 모습을 자주 보여온 만큼, 각 기업과 기관에서는 이들의 움직임에 주목해야 한다"고 강조했다.

 

swiss2pac@newspim.com

[뉴스핌 베스트 기사]

사진
버핏, 하락장에 옥시덴털 등 주식 더 샀다 [뉴욕=뉴스핌] 김민정 특파원 = '오마하의 현인' 워런 버핏의 버크셔 해서웨이가 이번 주 뉴욕증시 하락 장세 속에서 그동안 꾸준히 매수해 온 옥시덴털 페트롤리엄의 지분을 추가 매수했다. 20일(현지시간) CNBC에 따르면 버크셔는 890만 주의 옥시덴털 지분을 4억500만 달러(약 5860억 원)에 매수했다. 이번 지분 인수는 지난 17일과 18일, 19일에 걸쳐 이뤄졌다. 이번 매수로 버크셔가 보유한 옥시덴털의 지분은 28%로 확대했다. 버핏 회장은 하락장에 주식을 저렴하게 산 것으로 보인다. 옥시덴털의 주가는 이번 달 들어 10% 하락해 연초 이후 24%의 낙폭을 기록 중이다. 전날 옥시덴털의 주가는 52주래 최저치를 기록하기도 했다. 버크셔 해서웨이의 워런 버핏 회장 [사진=블룸버그] 옥시덴털은 버크셔가 보유한 주식 중 6번째로 규모가 크지만, 버핏 회장은 완전한 인수설을 부인했다. 버크셔가 옥시덴털을 추가 매수한 것은 지난 6월 이후 이번이 처음이다. 현재 버크셔가 보유한 옥시덴털의 가치는 120억 달러에 이르지만 투자 전문매체 배런스는 옥시덴털 투자로 버크셔가 10억 달러의 손실을 보고 있을 것으로 추정했다. 같은 기간 버크셔는 북미 최대 위성 라디오 사이러스XM 지분 500만 주를 1억1300만 달러에 샀다. 사이러스XM은 올해 60%나 급락해 현재 10여 년간 가장 낮은 수준에서 거래되고 있다. 최근 투자자들은 회사가 2025년 실적 전망치를 하향 조정하면서 주식을 공격적으로 매도했다. 도메인 등록 서비스업체 베리사인의 지분 23만4000주를 약 4500만 달러에 사들였다. 현재 버크셔는 이 회사의 지분 13%를 보유 중이다. 이로써 지난 3거래일간 버크셔가 매수한 지분은 최소 5억6000만 달러에 달한다. mj72284@newspim.com 2024-12-21 00:55
사진
달러/원 환율 1,450원 돌파...15년래 최고 [서울=뉴스핌] 고인원 기자= 19일 달러/원 환율이 1450원도 돌파하며 15년 6개월 만에 최고치를 기록했다. 올해 마지막 연방공개시장위원회(FOMC) 정례 회의에서 미국 연방준비제도(Fed)가 예상대로 기준 금리를 0.25%포인트 인하했으나 내년 기준 금리 인하 속도를 줄일 가능성을 시사한 여파다. 연준은 18일(현지 시각) 이틀간 연방공개시장위원회(FOMC) 정례 회의를 마치고 기준 금리를 4.25~4.50%로 0.25%포인트(%p) 인하한다고 밝혔다. 이로써 연준은 9월과 11월에 이어 이달까지 세 번의 회의에서 연속으로 기준 금리를 내렸다. 연준은 별도로 공개한 경제 전망 요약(SEP)에서 내년 말까지 금리 인하 폭을 0.50%p로 제시했다. 이는 9월 1.00%p를 기대한 것에서 크게 축소된 수치다. 이 같은 예상대로면 연준은 내년 0.25%p씩 총 두 차례 금리를 낮추게 된다. 매파적인 연준의 내년 금리 전망에 이날 미 달러화는 2년 만에 최고 수준으로 올라섰고, 달러/원 환율은 한국 시간 19일 오전 6시 50분 기준 1453원으로 1450원도 넘어섰다. 이는 지난 2009년 3월 이후 약 15년 만에 최고치다. 지난 2017년 도널드 트럼프 당시 대통령이 제롬 파월 당시 연방준비제도(Fed) 이사를 차기 의장으로 지명했다. [사진=블룸버그] koinwon@newspim.com 2024-12-19 06:58
안다쇼핑
Top으로 이동