세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
북미정상회담 악용, 트로이목마 ‘NavRAT’ 등장
  |  입력 : 2018-06-01 11:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
‘미북 정상회담 전망 및 대비.hwp’ 클릭하면 트로이목마 깔려
네이버 이메일 플랫폼 활용해 공격자 간 통신 진행한 첫 사례


[보안뉴스 오다인 기자] 새로 포착된 악성 한글(HWP) 파일이 북미정상회담을 악용하고 있는 것으로 드러났다. 시스코 탈로스(Cisco Talos)의 워렌 머서(Warren Mercer)와 폴 하스까니에(Paul Rascagneres) 연구원이 밝힌 결과다.

▲클릭 시 ‘NavRAT’이 다운로드 되는 악성 한글 문서[이미지=시스코 탈로스 블로그]


이들 연구진은 ‘북미정상회담이 한국 이용자를 겨냥한 공격의 미끼로 쓰이고 있다’고 밝히면서 해당 멀웨어를 ‘NavRAT’이라고 명명했다. 이용자가 ‘미북 정상회담 전망 및 대비.hwp’라는 제목의 한글 문서를 클릭하면 NavRAT이 다운로드 된다.

NavRAT은 감염 기기에 명령 실행을 비롯한 각종 공격을 수행할 수 있는 트로이목마로, 키로깅(keylogging) 기능까지 갖춘 것으로 밝혀졌다. 키로깅은 이용자가 기기에 입력하는 내용을 공격자가 은밀히 가로채는 공격을 말한다.

연구진은 한글(HWP) 파일 형태가 한국에서 주로 쓰인다고 짚은 뒤, EPS(Encapsulated PostScript) 객체가 여기에 삽입(embed)돼 있다고 설명했다. EPS는 피해 시스템에 악성 셸코드(shellcode)를 실행하도록 하고, 이후 최종 페이로드인 NavRAT가 다운로드 된다.

NavRAT은 전형적인 원격 접근 트로이목마(RAT)의 구조를 띠고 있지만 명령 및 제어(C&C) 인프라가 매우 특징적인 것으로 나타났다. NavRAT은 정식 네이버 이메일 플랫폼을 활용해 공격자 간 통신을 진행했다. 연구진은 무료 이메일 플랫폼을 이용해 공격을 펼친 사례는 이전에도 목격돼 왔지만 네이버를 이용한 사례는 이번이 처음이라고 강조했다.

공격 배후와 관련해 연구진은 그룹123(Group123)을 추정하고 있다고 덧붙였다. 앞서 2월 시스코 탈로스는 2017년 한국을 겨냥한 공격 캠페인 보고서를 발표하면서 △골든타임 △사악한 새해 △프리밀크(FreeMilk) △행복하십니까? △북한 인권 △사악한 새해 2018년 등의 배후로 그룹123을 지목한 바 있다.
[오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)