`이력서 문서파일 위장` 악성파일에 정보수집 스파이 모듈 설치 시도

지난해 하반기 국내 유명 인터넷 기업을 타깃으로 진행된 지능형지속위협(APT) 공격 사례가 발견됐다.

11일 잉카인터넷 시큐리티대응팀은 이력서 문서파일로 위장한 이메일을 국내 A 기업에 발송한 뒤 실제로는 실행파일(EXE)을 깔아 정보수집을 목적으로 하는 모듈의 설치를 시도한 사례를 발견해 최근 블로그에 공개했다.

이번 APT 공격은 국내 대부분의 안티-APT 솔루션이 문서포맷에 대한 사전검증 및 악성코드 탐지에 집중돼있다는 점을 악용해 실제로는 실행파일(EXE)이지만 문서파일(DOC)처럼 보이도록 위장해 침투하는 기법을 썼다.

실제로 존재하는 한 국내 여성의 이름으로 발송된 이메일은 △제목 Resume △본문 구직과 관련된 내용(영문) △첨부파일 My_Resume.zip 등으로 이뤄져 있으며 압축 파일 내부에 MS 워드 문서파일이 포함돼 있는 것처럼 위장한 이중 확장명을 가진 실행파일(EXE)을 활용했다. 이 ZIP 압축파일을 해제한 후 실제 이력서 문서파일로 오인하고 실행하게 되면 특정호스트로 접속을 시도하는 ALZ_Console.exe 파일과 정보수집 목적으로 사용되는 모듈인 tran.exe 2가지 악성 실행파일이 작동하는 것으로 분석됐다.

잉카인터넷은 이 파일은 일반적인 악성파일이 사용하는 재부팅시 자동 시작 기능 등도 포함하지 않았는데 이런 형태는 순차 공격에 있어서 `침투조' 목적으로 배포되는 스파이 모듈이며, 만약 수집된 정보 중에 공격자가 원하는 조건과 부합될 경우 또 다른 공격 명령을 수행하게 되는 프로그램인 것으로 보인다고 분석했다.


디지털 타임스 신동규 기자 dkshin@dt.co.kr | 입력: 2012-03-11 20:04