[상반기 악성코드 결산] ② 4월에는 정부 기관 사칭 기승... 암호화폐 지갑도 노려
2020-07-14 08:02
4월 들어 해커들은 본격적으로 코로나19와 관련된 정부 기관 사칭을 시작했다. 전통적인 악성 이메일 공격뿐만 아니라 홈페이지를 해킹한 후 암호화폐 지갑을 탈취하는 악성코드를 살포하기도 했다.
4월 초에는 인천광역시 감염병관리지원단을 사칭한 악성 이메일 공격이 발견됐다.
이 악성 이메일은 '[긴급 조회]'라는 발신지와 함께 '인천광역시 코로나바이러스 대응'이라는 제목으로 유포되었으며, 발신자 메일 주소 역시 'icdc@icdc.incheon.kr'로 제작돼 실제 인천시 소속의 감염병관리지원단이 보낸 것처럼 꾸몄다.
공격자는 이메일 수신자에게 특정 집회 참석자 중 코로나19 바이러스 확진자가 발생했고, 이메일 수신자 역시 동일 집회에 참석했다는 신고가 있다고 안내하고 있다. 또한 행적 파악을 위해 특정 시간대 동선을 첨부된 양식 파일로 작성해 제출하라고 안내하며 첨부 파일 실행을 유도했다.
사용자가 첨부된 HWP 문서파일을 실행하면 ‘긴급 조회’ 제목의 한글 문서가 실행되며, 동시에 취약점을 악용해 특정 해외(이란)의 명령제어(C2) 서버를 통해 크롬 업데이트 모듈처럼 속성을 위장한 악성코드가 은밀히 추가 작동한다.
사용자 PC에 실행된 악성코드는 파일 및 폴더 정보를 수집하며 추가 다운로드 명령을 통해 백도어(Backdoor) 등의 각종 악성파일을 몰래 설치해 잠재적인 위협에 노출된다.
북한 정부의 후원을 받는 해킹그룹 ‘라자루스(Lazarus)’는 △블록체인 소프트웨어 개발 계약서 △한미관계와 외교·안보 △항공우주기업 채용 관련 문서 △00 광역시 코로나 바이러스 대응 △성착취물 유포사건 출석통지서 등을 사칭한 악성코드를 집중 유포했다.
5월에는 '국세청 전자세금계산서 발급 메일 안내'로 위장한 악성 이메일이 국내 공공기관과 기업 종사자를 대상으로 유포됐다. 이 악성 이메일은 악성 파일을 첨부한 이메일을 특정 대상에게 발송하는 ‘스피어 피싱’ 이메일 공격 방식을 이용한 것이 특징이다. 기존 국세청 홈택스(hometax) 사칭 공격에서 더 진화해, 발신지 주소까지 실제 홈택스 도메인처럼 정교하게 조작했다.
이메일 발신지 주소가 실제 도메인으로 위장되어 있을 경우, 메일 수신자가 이메일의 악성 여부를 판단하기 어렵기 때문에 공격에 감염될 가능성이 늘어난다. 또한 이메일에 첨부된 압축 파일을 '.pdf.zip'과 같이 이중 확장자로 위장한 후 실제 PDF 파일처럼 의심 없이 열어보도록 유도했다.
또한 5월에는 암호화폐 지갑 주소를 공격자의 지갑 주소로 바꾸는 악성코드가 기승을 부렸다.
해커가 보안이 취약한 일부 웹사이트를 해킹한 후 악성코드 유포 도구인 ‘익스플로잇 킷’을 이용해 악성코드를 유포했다. 만약 이용자가 최신 보안패치가 적용되지 않은 PC로 해당 웹사이트에 접속하면, 익스플로잇 킷이 접속한 PC 내의 취약점을 분석한 후 악성코드를 설치한다.
설치된 악성코드는 이용자의 PC를 모니터링해 이용자가 비트코인, 이더리움, 라이트코인, 지캐시, 비트코인캐시 등의 암호화폐 지갑 주소를 복사하는 시점을 파악한다. 이후 해당 주소를 붙여넣기 할 때 원래 지갑 주소를 공격자의 암호화폐 지갑 주소로 바꿔치기한다. 만약 사용자가 지갑 주소를 다시 확인하지 않고 암호화폐를 전송하면 암호화폐가 공격자의 지갑으로 전송된다.
암호화폐 사용자들이 길고 복잡한 암호화폐 지갑 주소를 별도로 저장한 후 복사해 사용하는 특성을 악용한 것이다.
이 악성 이메일은 '[긴급 조회]'라는 발신지와 함께 '인천광역시 코로나바이러스 대응'이라는 제목으로 유포되었으며, 발신자 메일 주소 역시 'icdc@icdc.incheon.kr'로 제작돼 실제 인천시 소속의 감염병관리지원단이 보낸 것처럼 꾸몄다.
공격자는 이메일 수신자에게 특정 집회 참석자 중 코로나19 바이러스 확진자가 발생했고, 이메일 수신자 역시 동일 집회에 참석했다는 신고가 있다고 안내하고 있다. 또한 행적 파악을 위해 특정 시간대 동선을 첨부된 양식 파일로 작성해 제출하라고 안내하며 첨부 파일 실행을 유도했다.
사용자 PC에 실행된 악성코드는 파일 및 폴더 정보를 수집하며 추가 다운로드 명령을 통해 백도어(Backdoor) 등의 각종 악성파일을 몰래 설치해 잠재적인 위협에 노출된다.
북한 정부의 후원을 받는 해킹그룹 ‘라자루스(Lazarus)’는 △블록체인 소프트웨어 개발 계약서 △한미관계와 외교·안보 △항공우주기업 채용 관련 문서 △00 광역시 코로나 바이러스 대응 △성착취물 유포사건 출석통지서 등을 사칭한 악성코드를 집중 유포했다.
이메일 발신지 주소가 실제 도메인으로 위장되어 있을 경우, 메일 수신자가 이메일의 악성 여부를 판단하기 어렵기 때문에 공격에 감염될 가능성이 늘어난다. 또한 이메일에 첨부된 압축 파일을 '.pdf.zip'과 같이 이중 확장자로 위장한 후 실제 PDF 파일처럼 의심 없이 열어보도록 유도했다.
또한 5월에는 암호화폐 지갑 주소를 공격자의 지갑 주소로 바꾸는 악성코드가 기승을 부렸다.
해커가 보안이 취약한 일부 웹사이트를 해킹한 후 악성코드 유포 도구인 ‘익스플로잇 킷’을 이용해 악성코드를 유포했다. 만약 이용자가 최신 보안패치가 적용되지 않은 PC로 해당 웹사이트에 접속하면, 익스플로잇 킷이 접속한 PC 내의 취약점을 분석한 후 악성코드를 설치한다.
설치된 악성코드는 이용자의 PC를 모니터링해 이용자가 비트코인, 이더리움, 라이트코인, 지캐시, 비트코인캐시 등의 암호화폐 지갑 주소를 복사하는 시점을 파악한다. 이후 해당 주소를 붙여넣기 할 때 원래 지갑 주소를 공격자의 암호화폐 지갑 주소로 바꿔치기한다. 만약 사용자가 지갑 주소를 다시 확인하지 않고 암호화폐를 전송하면 암호화폐가 공격자의 지갑으로 전송된다.
암호화폐 사용자들이 길고 복잡한 암호화폐 지갑 주소를 별도로 저장한 후 복사해 사용하는 특성을 악용한 것이다.