러시아어로 된 악성 워드 문건 돌아다니기 시작...코니랫 설치 중

요약 : 보안 외신 핵리드에 의하면 코니랫(KonniRAT) 멀웨어가 돌아왔다고 한다. MS 워드를 악용해 윈도 운영체제로부터 데이터를 훔치는 활동을 이어가는 중이라고 보안 업체 포티가드(FortiGuard)가 발표했다. 가짜 워드 문서로 악성 매크로를 발동시켜 코니랫이 실행되도록 하는 수법이 이용되고 있는데, 가짜 문서는 러시아어로 작성되어 있으며, 이 문서와 연결된 서버는 현재도 활성화 되어 있는 상태라고 한다. 즉 이 캠페인은 지금 이 순간에도 진행되고 있다는 뜻이다.


배경 : 코니랫은 고도화 된 멀웨어로, 로그인 크리덴셜 탈취, 원격 명령 실행, 권한 상승 등의 기능을 가지고 있다. 파일을 다운로드 하고 업로드 하는 것도 가능하다. 이전에도 러시아의 단체와 개인들을 공략하는 데 주로 사용됐고, 2017년 8월 북한이 미사일 실험을 감행하자 북한을 겨냥한 공격에도 코니랫이 사용된 적이 있다. 그 후에는 중동과 북아프리카에서도 종종 발견되곤 했다가, MS가 매크로 기능을 크게 제한하기 시작하자 잠시 사라졌다.

말말말 : “출처가 불분명한 워드 파일을 함부로 열지 말고, 연 후에 나오는 팝업 창에서 함부로 ‘확인’을 누르면 안 됩니다. MS가 매크로의 ‘디폴트 활성화’를 중단시키긴 했지만, 그렇다고 공격자들이 매크로를 아예 활성화시키지 못하는 건 아닙니다.” -핵리드-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>