이스트시큐리티, 코로나19 마스크 관심 노린 APT 공격 발견

2020-04-22 10:26
편집부 press@bodnara.co.kr

마스크가 코로나19 바이러스 확산과 감염 예방에 가장 효과적인 예방책으로 알려지며 전 세계적으로 품귀 현상이 나타나는 등 사람들의 관심이 크게 증가한 가운데, 마스크 관련 정보 문서로 위장한 악성 문서 파일이 발견되어 주의가 필요하다. 이 악성 문서를 열어볼 경우 사용자 PC에 악성코드가 설치되고 주요 정보가 탈취될 수 있다.

보안 전문 기업 이스트시큐리티(대표 정상원)은 마스크 관련 정보 문서로 위장한 악성 문서가 유포되고 있으며, 이 문서는 특정 정부 후원을 받는 것으로 추정되는 APT 공격 그룹 코니(Konni)의 소행으로 추정된다고 22일 밝혔다.

APT 공격 그룹 코니는 진난 몇 년간 꾸준히 국내를 타깃으로 APT공격을 수행하고 있으며, 이스트시큐리티 ESRC(시큐리티대응센터)에서는 이미 수차례 이 조직의 위협을 확인하고 경고한 바 있다.

이 조직은 2020년에도 지속해서 APT 공격을 시도하고 있으며, 실제로 올 1분기 러시아어로 작성된 북한의 2020년 정책 문서, 그리고 일본 2020년 패럴림픽 관련 자선단체 문서 사칭, Keep an eye on North Korean Cyber라는 악성 doc 문서를 활용한 공격 등을 진행한 것으로 밝혀졌다.

새롭게 발견된 악성 문서는 guidance라는 파일명을 사용하고 있다. 이 악성 문서를 열어보면 최초에는 문서 내용이 제대로 보이지 않으며, 문서 내용 확인을 위해 상단에 나타난 콘텐츠 사용 버튼을 클릭하도록 유도한다.

만약 콘텐츠 사용 버튼을 클릭할 경우 최근 이슈가 되고 코로나19 바이러스 관련 마스크 소개 내용을 담은 문서를 보여주며 악성코드 감염 의심을 회피한다.

하지만 실제로는 공격자가 미리 설정해둔 악성 매크로 코드가 동작하며 사용자 몰래 자동으로 추가 파일을 실행한다. 이후 공격자의 명령제어(이하 C2)서버에서 추가로 악성 파일을 다운로드해 사용자 정보를 탈취하는 기능을 가진 최종 악성코드를 설치한다.

악성코드가 설치될 경우 공격자가 지정한 FTP로 감염된 PC의 시스템 정보와 실행 중인 응용프로그램, 관련 작업, 프로세스 목록 정보가 업로드되며, C2 서버를 통한 추가 공격 명령도 수행할 수 있게 된다.

ESRC는 악성코드 설치과정에서 공격자가 탐지와 분석을 회피하기 위해 커스텀 Base64 코드를 적용했고, 이는 기존 코니 조직이 사용한 방식과 동일한 것으로 분석했다.

현재 알약에서는 새롭게 발견된 악성코드를 탐지명 Trojan.Downloader.DOC.Gen, Trojan.Agent.245248K, Trojan.Agent.9216K로 탐지 차단하고 있다.

닉네임

비회원

보드나라 많이 본 뉴스

애플 폴더블 아이폰, 힌지 내구성 이슈로 출시 지연?

AMD 라이젠 7 5800X3D 10주년 모델 인도 시장 등록, 글로벌 출시될까?

MS, 코파일럿 키 변경 기능 공식 지원 계획

보드나라 많이 본 기사

디자인과 성능 모두 시원한 게임 환경,기가바이트 지포스 RTX 5080 AERO OC SFF 제이씨현

하이브리드 워크를 위한 최고의 선택,ATEN Essentials US 스위치 3종

보기 어려운 독특한 구성으로 차별화, MAXSUN 아이크래프트 Z890 퍼시픽 디앤디컴

보드나라 최신 기사

[04/22] SPM, ‘몽돌87’ 키보드 신규 컬러 2종 출시

[04/22] MSI, 실속형 데스크탑 ‘MSI MAG 코덱스’ 전국 코스트코 11개 매장 추가 입점

[04/22] 클레브 X 서린씨앤아이, 2026 플레이엑스포서 DDR5 메모리 부스 운영

[04/22] 레이 트레이싱과 함께 쾌속 질주,포르자 호라이즌 6

[04/22] 팔로알토 네트웍스, AWS 서밋 서울서 ‘Secure AI by Design’ 기반 클라우드 보안 전략 제시

[04/22] 넥슨, ‘퍼스트 디센던트’ 신규 콘텐츠 업데이트 실시

[04/22] 앱코, 저소음 키보드 ‘ACH105’ 신규 컬러 블랙 출시

[04/22] 헬다이버즈 2 더 빠르고 안정적으로 즐긴다, 업스케일링 기술 업데이트

[04/22] 캐논 카메라와 렌즈, 4월 22종에 이어 5월 63종 새로 가격 인상

[04/22] 마이크로닉스, 플레이엑스포서 ‘2026 KEL 이터널 리턴’ e스포츠 현장 함께한다

[04/22] 한글과컴퓨터 사명 '한컴' 변경, 오피스 판매 방식 구독제로 전환

[04/22] 넷이즈게임즈 연운, 신규 확장팩 궁궐의 새벽빛 5월28일 출시

[04/22] 로보락, 초슬림 로봇청소기 ‘Qrevo Edge 2’ 출시

[04/22] 9년 여정의 마무리, 데스티니2 유지 보수 모드 전환

[04/22] 넥슨, ‘메이플스토리M’ ‘검은 마법사’ 및 ‘선택받은 세렌’ 싱글 모드 추가

[04/22] 클라우드플레어, 앤트로픽과 ‘클로드 관리형 에이전트를 위한 클라우드플레어 환경’ 출시

[04/22] 고프로, 8K 지원 ‘MISSION 1’ 시리즈 글로벌 출시

[04/22] 석 달째 횡보하는 PC시장 메모리 가격, 하반기 메모리 모듈 가격의 향방은?

[04/22] 제이씨현, AMD X GIGABYTE X 전자랜드, 고성능 게이밍 PC ‘라라랜드 프로모션’ 진행!

[04/22] 패스트파이브, 보안 강화 및 IT 운영 최적화 위해 ‘HPE 아루바 네트워킹 엣지커넥트 SSE’ 디지털 백본으로 채택

로그인 | 이 페이지의 PC버전