광고 로드중
북한 해커 조직이 ‘230407정보지.lnk’, ‘2023년도 4월 29일 세미나.lnk’ 등의 파일로 위장한 악성코드를 유포하고 있어 주의가 필요하다.
해당 악성코드에 감염되면 개인정보 유출은 물론, 추가 악성코드 다운로드를 통한 2차 피해가 발생할 수 있다.
22일 관련 업계에 따르면 안랩 보안 전문가 조직(ASEC)은 북한 해커조직 레드아이즈(APT37, ScarCruft)공격 그룹이 링크(LNK) 파일을 통해 록랫(RokRAT) 악성코드를 유포하는 것을 확인했다.
광고 로드중
◆정상 PDF 파일로 위장…표적 개인정보·카메라 화면 탈취
최근 레드아이즈가 해킹에 사용한 록랫 악성코드는 클라우드 기반 원격 접근 트로이목마(RAT)다.
록랫에 감염되면 컴퓨터 정보·화면 캡쳐 등이 공격자의 서버로 전송된다. 특히 추가 악성코드를 다운로드 받거나 실행시킬 수 있는 기능이 있어 2차 피해가 발생할 수 있다.
구체적으로 록랫은 ▲스크린샷 캡쳐 ▲사용자 이름·컴퓨터 이름, 기본 입력·출력 시스템(BIOS) 등 시스템 정보 수집 ▲수집한 데이터를 클라우드 서비스로 전송 ▲암호화된 개인정보(크리덴셜) 탈취 ▲파일 관리 및 암호화·복호화 관리 등을 수행한다.
광고 로드중
파일은 PDF 아이콘으로 위장하고 있으며 파일 내부에는 악성 작업자동화(파워쉘) 명령어 뿐만 아니라, 정상 PDF 파일 데이터와 악성 스크립트 코드가 존재했다. 공격자는 정상 PDF 파일을 실행해 사용자가 정상적인 PDF 파일을 실행한 것처럼 보이도록 한 뒤, 스크립트 파일을 통해 악성 행위를 수행했다. 수집된 정보는 p클라우드, 얀덱스 등의 클라우드 서비스를 사용해 공격자의 클라우드 서버로 전송됐다.
안랩은 “록랫 악성코드는 워드 문서 뿐만 아니라 다양한 형식의 파일을 통해 유포가 되고 있는 만큼 사용자의 각별한 주의가 필요하다”고 당부했다.
◆국내 금융 기업 보안 메일을 사칭한 CHM 악성코드도 유포
레드아이즈는 지난달 국내 금융 기업 보안 메일을 사칭한 HTML도움말 파일(CHM)악성코드를 유포해 안랩 보안 전문가 조직이 주의를 당부한 바 있다.
광고 로드중
안랩은 “국내 특정 사용자를 대상으로 유포하는 악성코드는 유포 대상에 따라 관심 있는 주제의 내용을 포함해 사용자의 실행을 유도하기 때문에, 출처가 불분명한 메일의 열람을 자제하고 첨부된 파일은 실행하지 않도록 해야 한다”고 당부했다. 아울러 “주기적으로 PC 검사를 진행하고 보안 제품을 최신 엔진으로 업데이트해야 한다”고 설명했다.
【서울=뉴시스】