윈도 운영체제(OS)에서 최근 발견된 보안 취약점을 악용해 북대서양조약기구(NATO)를 포함한 미국, 유럽 주요 조직을 공격한 사례가 발견됐다.
15일 시만텍은 일명 '샌드웜(Sandworm)'이라고 불리는 해커그룹이 '윈도 개체연결삽입(OLE) 패키지 매니저 원격 코드 실행 취약점(CVE-2014-4114)'을 악용해 외부에서 OLE 파일을 삽입 공격대상 PC에 악성코드를 설치하는 수법을 쓰고 있다며 주의를 당부했다.
시만텍에 따르면 이들은 취약점을 악용해 '블랙 에너지(Black Energy)'라는 백도어 악성코드를 공격 대상 PC에 설치한다. 취약점은 윈도비스타 서비스팩(SP)2부터 윈도 8.1 및 윈도 서버 2008, 2012에 이르기까지 모든 윈도 버전에 영향을 미치는 것으로 보고됐다.이 취약점은 윈도에서 OLE를 처리하는 방식과 관련된 것으로 프로그램 상 요청을 하지 않았는데도 외부파일을 다운로드해 실행할 수 있게 하는 방법이 악용됐다. OLE는 한 문서의 데이터를 다른 문서에 삽입하거나, 문서 링크를 다른 문서에 삽입할 수 있게 하는 MS의 자체기술이다.
시만텍에 따르면 이 공격은 목표한 개인들을 대상으로 악성코드가 담긴 파워포인트 파일(PPT)을 첨부한 스피어 피싱 이메일을 발송하는 형태로 이뤄졌다. 파워포인트 파일은 URL을 포함한 두 개의 OLE 문서를 포함하고 있는데, 만약 목표로 한 사용자가 파워포인트 파일을 열면 이 URL에 접속해 확장자가 '.exe'와 '.inf'로 구성된 두 개의 파일을 추가 다운로드하면서 해당 PC에 악성코드가 설치된다.
관련기사
- 고급호텔 무선랜 이용 시 '다크호텔' 공격 주의보2014.10.15
- ATM서 몰래 돈 뽑는 신종해킹 등장2014.10.15
- HP 이어 시만텍도 2개 회사로 분할 선언2014.10.15
- 아이클라우드 해킹 불안 노린 피싱 등장2014.10.15
이 악성코드는 정보탈취를 위해 자체적인 업데이트 기능을 가졌으며, 파워포인트 외에 워드, 엑셀 등 다른 MS 오피스 기반 파일에서도 발생할 가능성이 있다.
시만텍 SSET 총괄 윤광택 이사는 윈도 사용자 모두에게 영향을 미칠 수 있는 중대한 사안인 만큼 기업은 물론 개인 사용자들에게도 주의를 요한다며 피해를 방지하기 위해 MS의 보안 패치를 즉각 설치, 보안 소프트웨어를 최신 버전으로 업데이트, 이메일 첨부파일 확인 시 주의할 필요가 있다고 당부했다.
