세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  INFO-CON
Home > Security
집값 폭등 이슈 악용한 악성파일 유포! 北 ‘라자루스’ 다시 움직이나
  |  입력 : 2018-09-14 17:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
‘일일동향보고_180913.hwp’ 사칭 한글 악성파일 발견...메일 수신 주의
북한 해커조직 라자루스가 제작한 한글 문서구조와의 악성코드 유사성 제기


[보안뉴스 김경애 기자] 최근 집값 폭등으로 국내 부동산 시장에 대한 관심이 높아지고 있는 가운데 한국부동산개발협회를 사칭해 ‘일일 동향보고’라는 문서로 위장된 악성파일이 발견됐다. 특히, 이번 악성파일 유포는 북한의 사이버공격 그룹으로 알려진 라자루스로 의심되고 있으며, 국내 사용자를 타깃으로 집중 유포되고 있다.

[이미지=하우리]


라자루스 그룹은 3.20 사이버테러, 소니픽쳐스 해킹, 방글라데시 중앙은행 해킹 등 주요 해킹 사건 때마다 등장하는 그룹으로 잘 알려져 있다. 더욱이 최근 미국이 북한 해커 박진혁을 지목하면서 박진혁이 라자루스 소속이라고 밝히기도 했다.

이번에 발견된 ‘일일동향보고_180913.hwp’ 악성 한글 문서에는 라자루스가 제작한 한글문서 구조와 악성코드가 유사한 것으로 조사됐다.

보안기업 하우리 측은 “북한의 사이버공격 그룹으로 알려진 라자루스는 국내를 타깃으로 한글문서 파일을 악용해 지속적인 공격을 시도하고 있다”며 “한글 구조 내부 PS 파일에 쉘코드를 포함하고 있으며 16바이트 XOR 키로 쉘코드를 복호화한다”고 분석했다.

쉘코드가 실행되면 특정 주소에서 파일을 다운로드한다. 다운로드 받은 profile_1.gif, profile_2.gif 파일을 실행하면 명령제어(C&C) 서버에 접속을 시도한다. 따라서 이용자는 메일 수신시 악성파일에 감염되지 않도록 백신은 최신 버전으로 항상 업데이트해 유지해야 하며, 의심되는 파일은 클릭하지 않도록 각별히 신경써야 한다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
신기술이 무서운 속도로 등장하고 있습니다. 가장 시급히 보안 장치/정책/규정규정/표준이 도입되어야 하는 분야는 무엇이라고 생각하십니까?
클라우드와 컨테이너
SDN(소프트웨어 정의 네트워크)
인공지능과 자동화
블록체인
소셜 미디어
기타(댓글로)