보안이슈 : 한국 보안제품 아이콘으로 위장한 APT 공격 주의

한국의 특정 보안제품 아이콘으로 위장한 APT 공격이 발견 되었습니다.

APT 공격

- APT는 (Advanced Persistent Threats) 지능적 지속 위협의 약자 입니다. 지능적인 방법을 사용하여 지속적으로 특정 대상을 공격하는 것을 말합니다. APT 공격은 과거의 불특정 다수를 노렸던 공격과는 달리 하나의 대상을 목표로 정한 후, 내부로 침입을 성공할때까지 다양한 공격을 시도하는 것이 특징 입니다.

APT 공격 단계

정보수집 - APT 공격은 스파이처럼 상대방 컴퓨터에 몰래 침투하는 것이 특징이며, 침부 성공시 목표물을 분석하고, 이메일 등의 사회공학적 기법을 이용해 지인이나 회사, 거래처 등 으로 가장해 악성코드가 첨부된 이메일을 보냅니다.

침입 - 정상적인 메일로 가장한 악성 메일을 열고, 첨부파일 및 링크를 실행시 악성코드 감염이 이루어 집니다. 이 부분이 최초 감염되는 시점이고 내부 시스템으로 침투하는 거점이 됩니다.

C&C(명령제어) 통신 - 해커가 유포한 악성코드에 감염이 되면, 해당 PC는 해커의 정보망이라고 봐도 무방합니다. 해커는 시스템에 활동 거점을 마련하기 위해 악성코드가 실행되면 백더오 프로그램을 설치하도록 하고, 이 백도어를 통해 C&C(명령제어) 서버와 통신하여 원격에서 명령을 내릴 수 있도록 합니다.

확산 - C&C(명령제어) 서버 통신을 이용하여 내부의 다른 PC들을 차례로 감염시켜 나가고, 사내 시스템 접근 권한을 확보하기 위해 비밀번호를 추측하거나 정보들을 수집하여 권한을 획득해 내부 시스템에 침투합니다.

데이터 접근 - 중요 데이터에 접근 가능한 권한을 획득하면, 실제 중요 데이터가 저장되어 있는 DB 및 시스템에 접근 합니다.

데이터 유출/파괴 - 중요 데이터에 접근한후 내부 보안 프로그램이나 모니터링 등에 걸리지 않게 오랜 기간을 두고 조금씩 데이터를 유출하거나 파괴시킵니다.

▲ 한국 보안 제품으로 위장하고 있는 악성코드 [출처 ESRC]

해당 악성파일들은 특정 보안제품 아이콘으로 위장하고 있으며, 해당 리소스와 그룹 아이콘 등의 언어가 한국어 코드(1024)로 설정되어 있고, 컴퓨터가 감염될 경우 시스템의 주요 정보와 키보드 입력내용, 사용자 계정 등의 민감 자료가 외부로 무단 유출될 수 있습니다.

▲ 한국 무료 웹 메일 보안서비스 공지로 사칭한 피싱 메일 [출처 ESRC]

ESRC는 이와 유사한 위협을 면밀히 추적 조사하던 중 한국 포털 회사의 고객센터로 위장해 피싱 공격을 수행한 사례를 확인하였으며, 해외 호스팅 서비스를 활용해 서버를 구축한 후, 한국의 특정 이용자를 겨냥해 무료 웹 메일 계정탈취를 시도한 사실을 확인하였습니다.

최근 정부지원을 받는 APT 공격그룹의 활동이 활발히 움직이고 있으며 의심되는 메일은 각별한 주의가 필요할 것으로 보입니다.

참고사이트 - http://blog.alyac.co.kr/1963?category=957259