독도영유권 분쟁에 관한 문서파일로 위장해 악성코드를 유포하는 파일이 발견돼 사용자들에 주의가 요청된다.
잉카인터넷(대표 주영흠) 대응팀은 지난 5일 키로거 공격을 일으키는 악성코드가 담긴 한글 파일을 발견했다고 9일 밝혔다. 이는 주로 특정 목표를 노린 지능형지속가능위협(APT)의 초기단계에서 나타나는 공격유형이다.
잉카인터넷은 이메일 첨부파일 등을 통해 '독도 일본땅' 日, 자신만만 증거보니...황당.hwp라는 이름의 한글 문서파일이 배포되고 있으며, 이를 열어 보면 사용자 임시폴더에 'SUCHHOST.EXE'라는 악성 프로그램을 실행한다고 밝혔다.
이를 통해 'Connection.DLL'이라는 파일이 추가로 생성돼 시스템 상에 실행 중인 모든 프로세스에 새로운 소스코드를 인젝션한다. 그 뒤 svchost를 통해 외부의 특정 사이트와 지속적인 접속상태를 유지하면서 '키로거' 기능을 수행하는 것으로 밝혀졌다.
잉카인터넷 측은 감염된 PC 사용자가 키를 입력할 경우 SSK.LOG파일을 생성해 모든 키입력 값들을 저장하는 기능(키로거)을 수행한다며 재부팅시에는 자신을 삭제해 감염사실을 알지 못하도록 하는 기능도 가졌다고 밝혔다.
관련기사
- 국회의원 메일 위장, 악성 한글파일 발견2012.09.09
- 안랩, 한글 취약점 이용한 악성코드 등장2012.09.09
- 뒤엉킨 경쟁, 소비자가 못 느끼는 요금인하…통신 C학점2024.05.15
- 보급형 폴더블폰·중고폰 나올까...삼성의 복잡해진 셈법2024.05.15
IP위치를 추적한 결과 정보가 유출된 곳은 홍콩소재에 있는 것으로 확인됐다.
잉카인터넷은 보통 기업을 대상으로한 APT공격은 공격자와 원활한 접점을 찾는 등의 동작을 위해 초기분석 단계를 거친다며 이 과정에서 이메일 등 초기에 접하기 쉬운 방법으로 접근을 시도하는 것이 보통이라고 밝혔다.
