본문 바로가기
뉴스,지식창고/잡지식,추천정보

[보안이슈]코로나19 관심 노린 사이버 공격 잇따라…주의!

by 범피디 BumPD 2020. 3. 17.

코로나19 관심 노린 사이버 공격 잇따라…주의!

  • AhnLab
  • 2020-03-11

코로나19가 결국 팬데믹으로 발전됨에 따라 세계 곳곳에 공포와 불안감이 확산되고 있다. 이와 함께 코로나19에 관한 가짜뉴스, 악의적인 장난으로 제작된 동영상 등이 사회적 혼란을 가중시키고 있다. 여기에 악성코드 제작자들도 가세, 다양한 형태로 코로나19 이슈를 이용한 악성코드를 유포하고 있어 각별한 주의가 필요하다. 

 

지난 2월 말 까지만 해도 코로나19와 관련된 사이버 공격은 WHO 사칭 이메일 등 스팸 메일과 사용자의 단순 불편을 야기하는 악성코드 정도였다. 그러나 코로나19 사태가 심화되면서 사이버 공격 또한 사람들의 불안감을 파고들며 더욱 악의적인 형태로 변화하고 있다.

안랩 시큐리티대응센터(AhnLab Security Emergency response Center, 이하 ASEC)는 코로나19 이슈를 이용해 국내외에 유포되는 악성코드를 확인하고 블로그를 통해 상세한 정보를 제공하고 있다. 이 글에서는 두 가지 유형에 대해 간략히 살펴본다.

1.  ‘실시간 코로나19 현황’ 프로그램으로 위장한 악성코드 

ASEC 분석팀은 코로나19와 관련된 내용으로 위장한 악성코드가 우리나라와 일본에 유포되고 잇는 것을 확인했다. [그림 1[은 이 악성코드가 사용자를 현혹하기 위해 보여주는 팝업 창으로, 그 사이에 사용자 몰래 Temp 경로에 악성 파일을 다운로드하고 실행한다. 

[그림 1] 실시간 코로나19 현황 내용으로 위장한 팝업 창

이 악성코드는 디코딩된 데이터를 특정 프로세스에 인젝션(injection)하는데, 이 인젝션된 데이터가 Temp 경로에 ‘국내 코로나 실시간 현황.exe’ 파일과 악성 파일인 ‘jjutest1.exe’ 파일을 다운로드하고 실행한다. 이 악성 파일은 백도어 유형의 악성코드로, 자동으로 실행되도록 RunKey를 등록하며, 특정 IP에 연결을 시도한다.

현재 V3 제품은 관련 악성코드를 다음과 같은 진단명으로 탐지하고 있다. 

<V3 제품군 진단명> 

- Malware/Win32.RL_Generic.R3617803 (2019.12.07.01)

- Dropper/Win32.MSILKrypt.R327173 (2020.02.26.00)

- Trojan/Win32.Fsysna.R202348 (2017.06.13.00)

2. 특정 종교단체 비상연락처로 위장한 악성코드

ASEC 분석팀은 코로나19의 집단 감염을 유발한 것으로 알려진 특정 종교단체와 관련한 문서로 위장한 악성코드 유포도 확인됐다. 해당 악성코드는 [그림 2], [그림 3]과 같이 해당 종교단체의 비상연락처나 조직도라는 파일명과 엑셀(.xlsx)이나 파워포인트(.ppt) 문서 파일로 위장했다. 

[그림 2] 특정 종교단체의 비상연락처 문서로 위장한 엑셀 파일

[그림 3] 특정 종교단체의 조직도 문서로 위장한 파워포인트 파일

문서 파일 형식으로 보이지만 실제로는 *.scr 파일로, 유니코드 RLO(Right to Left Override) 방식을 이용하여 파일 확장자를 .xlsx나 .ppt로 보이도록 했다. 이 *.scr 파일이 실행되면 %TEMP% 경로에 아래와 같이 각각 다른 기능을 가진 3개의 파일을 생성한다. 

- [랜덤1].vbs : 위장용 xlsx 파일 실행

- [랜덤2].vbs : *.scr 파일을 삭제

- services.exe : 백도어 악성코드

ASEC의 분석 결과, 백도어 악성코드인 services.exe는 비소날(Bisonal0 악성코드로 확인되었다. 비소날 악성코드는 지난 2011년부터 국내 기관 및 기업에 대해 지속적으로 타깃 공격을 시도해왔다. 개인 사용자뿐만 아니라 기업 및 기관 보안 담당자들도 코로나19 관련 이슈로 위장한 악성코드를 예의 주시할 필요가 있겠다.

한편, 이 백도어 악성코드는 레지스트리 키에 등록되기 때문에 PC를 재부팅해도 동작하며, 감염 PC의 이름부터 프로세스 목록, OS 버전 등의 사용자 정보를 공격자에게 전송하거나 파일 실행 및 종료, 추가 파일 다운로드 등의 역할을 한다. 

현재 V3 제품은 해당 악성코드를 다음과 같은 진단명으로 탐지하고 있다. 

<V3 제품군 진단명> 

Backdoor/Win32.Bisonal (2020.03.05.04)

코로나19 등 사회적 관심이 집중되는 이슈를 이용하는 사회공학기법(Social Engineering)의 악성코드 피해를 예방하기 위해서는 ▲출처가 불분명한 이메일의 첨부파일 실행 자제 ▲운영체제(OS) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 응용 프로그램(어도비, 자바 등), 오피스 SW 등 프로그램의 최신 보안 패치 적용 ▲V3의 엔진 버전을 최신 상태로 유지하는 등 기본적인 보안 수칙을 지키는 것이 중요하다.

코로나19 이슈를 이용하는 최신 악성코드에 대한 보다 상세한 정보는 ASEC 블로그에서 확인할 수 있다. 

▶ ASEC 블로그 바로가기 

  • AhnLab 로고
  • ASEC 분석팀

이 정보에 대한 저작권은 AhnLab에 있으며 무단 사용 및 도용을 금합니다.

단, 개인이 비상업적인 목적으로 일부 내용을 사용하는 것은 허용하고 있으나, 이 경우 반드시 출처가 AhnLab임을 밝혀야 합니다.
기업이 이 정보를 사용할 때에는 반드시 AhnLab 의 허가를 받아야 하며, 허가 없이 정보를 이용할 경우 저작권 침해로 간주되어 법적인 제재를 받을 수 있습니다. 자세한 내용은 컨텐츠 이용약관을 참고하시기 바랍니다.

정보 이용 문의 : contents@ahnlab.com

댓글0