이메일

국내 방산업체 APT 공격 포착

 최근 취약한 PDF 파일이 국내 방산업체 직원을 사칭하여 내부 직원 대상으로 이메일 통해 유포된 것이 보고되었다. PDF 파일의 내용을 보면 알 수 있듯이 사회공학적 기법을 이용하여, 방산진흥본부에서 방산업체로 업무협조 문서를 발송한 것처럼 위장하고 있다. [그림 1] PDF 파일 내용 해당 PDF 파일은 지난 2012년 8월에 ASEC 블로그의 “이메일을 이용한 어도비 CVE-2009-0927 취약점 악성코드 유포“와 유사한 형태로 공격자는 방산업체로 수신되는 문서를 이용하여 꾸준히 APT 공격을 하는 것으로 보인다. 이러한 공격으로 인해 내부 기밀 정보가 외부 공격자에게 유출되는 피해가 발생할 수 있기 때문에 국가 기관 및 방산업체에서는 심각하게 받아들여지고 있다. 따라서, 이와 같은 보안 위협에 대한 대응이 필요하다. 방산업체 직원으로 사칭해서 유포된 이메일의 첨부파일은 다음과 같다. [그림 2] 이메일 첨부파일 “업무연락 근무시간 관련 업계 현황 조사 협조요청_20130130.pdf” 파일을 실행하면 아래와 같이 파일과…

연말 숙박 예약시 주의사항 (부킹닷컴 사칭 메일)

연말에 휴가를 계획중이라면 예약 관련 내용의 메일을 확인할 경우 주의가 필요하다. 전 세계 26만여개의 숙박업체 예약 서비스를 하고 있는 Booking.com(부킹닷컴)을 사칭한 메일을 통해 악성코드가 유포되고 있다. [그림 1] 부킹닷컴을 사칭한 악성코드 첨부 메일 원본 이러한 스팸 메일은 지난 7월에도 보고된 바 있고, 10월에는 시스코사의 위협 발생 경보에 아래와 같은 허위 호텔 예약 확인이라는 이메일 내용이 공개된 적이 있다. [그림 2] Cisco – Threat Outbreak Alerts: Fake Hotel Reservation Confirmation E-mail Messages 해당 악성코드는 사회공학적 기법을 이용하여 휴가시즌에 주로 메일을 통해 유포되고 있으며, 메일 본문에는 예약 내용 확인을 위해 첨부 파일 실행을 유도하고 있다. 메일에 첨부된 압축 파일을 해제하면 Booking Summary Details.pdf.exe 파일을 확인할 수 있다. 해당 파일을 실행하면 자기 복제 본을 svchost.exe 파일 이름으로 아래와 같이 생성하고 레지스트리 값에 등록하여…

대통령 선거 관련 내용을 담은 취약한 한글 파일 발견

ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 소프트웨어 존재하는 취약점들을 악용하여 악성코드 감염을 시도한 공격 사례들에 대해 여러 차례 공유 한 바가 있다. 특히 최근 1달 사이만을 살펴보더라도 아래와 같이 다수의 공격 사례들이 있어, 외부에서 유입되는 이메일에 첨부된 한글 파일을 열게 될 경우에는 각별한 주의가 필요하다. 2012년 10월 19일 – 국방 관련 내용을 담은 취약한 한글 파일 발견 2012년 10월 10일 – 한글 소프트웨어의 제로 데이 취약점 악용 악성코드 2012년 10월 09일 – 전자 문서들의 취약점을 악용하는 악성코드들 다수 발견 2012년 09월 21일 – 다양한 전자 문서들의 취약점을 악용한 악성코드 2012년 10월 24일, 다시 한글 소프트웨어에 존재하는 알려진 취약점을 악용하는 취약한 한글 파일 2건이 발견되었다. 이 번에 발견된 취약한 한글 파일 2건은 국내 유명 포털 웹 사이트에서 제공하는 메일 서비스의 이메일 주소 이용하고…

윈도우 도움말 파일을 이용한 악성코드 유포

10월 17일 ASEC에서는 윈도우 도움말(HLP) 파일을 이용해 내부 정보들을 탈취하기 위한 목적으로 제작된 악성코드가 국내에 유포 된 것을 발견하였다. 이번에 윈도우 도움말 파일을 이용하여 유포된 악성코드는 아래 이미지와 동일하게 이메일의 첨부 파일 형태로 유포되었다. 유포된 이메일은 “쟁점 Q&A 통일외교“와 “전략보고서“라는 제목을 가지고 있는 2가지 형태이며 공통적으로 메일 본문에는 아무런 내용이 존재하지 않는다. 그리고 메일을 보낸 송신인은 국내 유명 포털 웹 사이트에서 제공하는 메일 서비스를 이용해 동일한 메일 주소를 사용하고 있다. 유포된 이메일에는 총 2가지 형태의 “쟁점Q&A 통일외교.zip (62,247 바이트)”와 “전략보고서.zip (61,742 바이트)” 의 첨부 파일이 존재하며, 압축 파일의 압축을 풀게 되면 “쟁점Q&A 통일외교.hlp (129,883 바이트)”와 “전략보고서.hlp (129,375 바이트)” 이 생성된다. 생성된 해당 HLP 파일들을 실행하게 되면 아래 이미지와 동일한 내용이 보여지게 된다. 그리고 해당 HLP 파일들에 의해 백그라운드로 아래의 경로에 동일한 “winnetsvr.exe (114,688 바이트)” 파일을 생성하고 실행하게 된다. C:WINDOWSTempwinnetsvr.exe  생성된 winnetsvr.exe 파일은 다음의…

ASEC 보안 위협 동향 리포트 2012 Vol.30 발간

안랩 ASEC에서 2012년 6월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.30을 발간하였다.  이 번에 발간된 ASEC 리포트는 2012년 6월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다. 1) 악성코드 이슈 악성코드, 당신의 계좌를 노린다 이메일로 시도되는 APT 공격 주의 문서 파일을 이용한 끊임없는 악성코드 유포 아래아한글 제로데이 취약점을 악용한 악성코드 – 1 아래아한글 제로데이 취약점을 악용한 악성코드 – 2 알려진 한글 취약점을 악용한 악성코드 유포 안랩 사칭한 광고 스팸 메일 주의 정부 기관에서 발송된 메일로 위장한 스팸 메일 FedEx Post Office 메일로 위장한 악성 스팸 메일 변형된 형태의 XML 코어 서비스 취약점 (CVE-2012-1889) 악용 2) 모바일 악성코드 이슈 zsone 안드로이드 악성코드 변종 발견 스마트폰 사진을 변조하는 악성코드 스마트폰 앱 이용할 땐 항상 주의하세요 3) 보안 이슈…