홈페이지 방문자 대상 RAT 악성코드 감염 후 원격제어

[보안뉴스 민세아] 최근 정부기관이 해킹당해 이슈가 되고 있는 가운데 국내 대표적인 싱크탱크(Think Tank)까지 해킹된 사실이 드러났다.


11일 오전 5시경부터 12시 30분경까지 국내 싱크탱크이자 국내 민간 연구기관인 ‘H경제연구원(이하 연구원)’ 홈페이지가 해킹돼 악성코드를 유포한 정황이 포착됐다.

해당 원격제어 악성코드는 어도비 플래시(Adobe Flash) 취약점을 이용한 워터링홀 방식으로 유포됐으며, 연구원 홈페이지 방문자를 대상으로 원격제어(RAT) 악성코드를 감염시킨 후 원격제어를 할 수 있도록 한 것으로 알려졌다.

해당 홈페이지는 11일 1시 경부터 접속이 되지 않다가 3시 30분 경부터 다시 접속이 가능해졌다.

연구원 홈페이지 방문 시 ‘(사용자계정명)\AppData\Local\Adobe’의 경로에 ‘lac.jpg’라는 악성코드를 생성한다. 이어 ‘lac.jpg’ 악성코드는 그림파일 확장자로 위장한 실행파일인 ‘go.jpg’와 ‘uau.jpg’ 파일을 추가적으로 다운받아 실행한다.


이렇게 설치·실행된 악성코드는 특정 명령제어(C&C) 서버에 접속해 해커의 명령을 기다린다. 해커의 명령을 받아 원격제어, 키로깅(Key Logging) 등을 수행해 감염 PC 사용자를 감시하고, 중요자료를 탈취할 수 있다.

이와 관련, 연구소 측은 “사이트에 접속되지 않는 것을 확인하고 서버 점검에 들어갔다. 서버를 재부팅하면서 관련 방화벽 포트를 차단했다. 관련한 추가 보안조치를 취할 것”이라고 전했다.

한편, 이번 원격제어 악성코드는 기존의 중국발 악성코드 유포 방식에서 일부 변형된 방식인 것으로 분석됐다.

연구원 홈페이지는 경제학자나 연구자들이 주로 접속하기 때문에 감염될 경우 국가 핵심정책이나 기업기밀이 유출될 우려가 있다. 싱크탱크는 주로 정부의 정책이나 기업의 경영전략을 연구하는 곳으로 보안이 더욱 요구된다고 할 수 있다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>