잉카인터넷 대응팀은 최근 자사의 블로그를 통해 2012년 8월 2일 국내 특정 분야의 정책을 통합조정하는 정부부처의 내부 공직자를 정조준하고 HWP 문서파일 취약점을 이용해 은밀하게 표적 공격을 감행한 APT(지능형지속위협) 정황을 포착했다고 밝혔다.
이 악성파일은 업무시간이 마무리되는 시점인 오후 6시 55분경에 확인됐다.
잉카인터넷 측은 국가 정책을 담당하는 중앙행정기관의 내부 직원을 겨냥했다는 점에서 국가 내부 정보수집을 목적으로 한 표적형 공격의 일환으로 추정하고 있다. 공격자는 '한글문서(HWP) 파일의 취약점을 이용했으며, '일일 주요외신 보도동향 보고'라는 내용을 포함하고 있다.
또한, 발신자는 이메일 제목과 내용 등에 한글을 직접 사용했으며, 보낸 사람 부분에도 한글로 '최 강'이라는 발신자명과 hotmail.com 계정을 이용했다.
이는 지난 4월 23일에 진행된 국내 특정 기업을 표적으로 한 공격 기법과 매우 유사해 동일인 또는 관계조직이 가담하고 있을 것으로 보고 있다. 또한 HWP 취약점을 통해 생성되는 악성파일 역시 '수원 토막살해 s오원춘, 감옥서 의외의 행동.hwp' 생성파일과 기법이 100% 일치하고 있다.
이메일 제목에는 한글로 '(수정) 8.2 외신종합'이라는 내용이 있고, 본문에는 '참고하세요'라는 짧은 표현만 포함되어 있다. 첨부파일에는 '8.2(목).hwp' 이름의 악성파일이 포함되어 있다.
첨부되어 있는 '8.2(목).hwp' 악성파일을 실행할 경우 보안취약점에 의해 다음과 같은 파일을 추가로 설치하고 실행한다. 가장 먼저 임시폴더(Temp) 경로에 'scvhost.exe' 이름의 악성파일을 설치하고, 'AAAA' 이름의 정상적인 HWP 문서파일을 생성한다. 그리고 'config.ini', 'dtapp.exe', 'print32.dll' 등 다수의 악성파일을 만들게 된다.
메인 악성파일인 'scvhost.exe' 파일은 이미지 아이콘을 가지고 있고, 마이크로 소프트사의 DirectX 파일처럼 위장하고 있으며, 중국어로 제작되어 있다.
이 악성 파일은 사용자를 속이기 위해 악성파일이 생성된 이후에 다시 정상적인 문서파일이 실행한다. 실제로 보여지는 문서파일은 다음과 같고, '일일 주요외신 보도동향 보고'라는 제목과 [경제] [북한] [외교]와 관련된 내용들이 포함되어 있다.
또한, 악성 파일은 백신 제품의 탐지 우회목적의 쓰레기(Garbage) 코드를 다수를 포함하고 있으며, 'C:\WINDOWS\Temp' 폴더 경로에는 udpmon.txt 라는 파일이 생성되며, 로그파일을 생성한다. 로그파일에는 키로거와 접속시도하는 원격지 호스트 IP 주소 등이 포함되어 있다.
odbc.nls 악성파일에 의해 Print Spooler 서비스인 spoolsv.exe 정상 프로세스에 사용자 몰래 연동 실행되고, 113.30.70.197 호스트로 시간차를 두고 접속을 시도한다. 그리고 각종 백도어 기능을 수행하는데, 오토키로거(AutoKeylogger), 캡스크린(CapScreen), 사용자 컴퓨터 정보 수집과 외부유출을 시도한다.
현재 한글과컴퓨터에서는 해당 악성파일에 의한 피해 방지를 위해 보안 패치를 제공하고 있으며, 한글 워드 프로세서를 사용 중인 사용자는 반드시 최신 보안 패치를 수행해야 한다.
잉카인터넷 대응팀은 이런 악성파일로부터 안전한 PC 사용을 유지하기 위해서는 HWP 문서 프로그램의 최신 보안 패치를 진행하는 것이 무엇보다 중요하며, 다음과 같은 기본적인 보안 관리 수칙을 준수해야 한다"고 밝혔다.
보안 관리 수칙
1. 윈도우와 같은 운영체제 및 각종 애플리케이션의 최신 보안 패치 생활화
2. 신뢰할 수 있는 보안업체의 백신 설치 후 최신 엔진 및 패턴 버전으로 업데이트해 실시간 감시 기능을 항상 'ON' 상태를 유지해 사용
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행 자제
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의 editor@itworld.co.kr