국내 사용자 대상으로 열람을 유도해 컴퓨터를 감염시키는 악성 HWP 문서가 발견됐다.
이를 발견한 보안전문가들은 국내 이용자를 노리고 공격 활동을 벌여 온 지능형지속위협(APT) 조직 '김수키'의 소행이라고 판단했다.
12일 시큐아이는 최근 파일명 '비트코인과 이더리움 올해에는 상승하나.hwp' 한글문서를 발견했다며 주의를 요한다고 밝혔다.
시큐아이는 해당 문서에는 암호가 걸려 있어 내용을 확인할 수는 없지만 문서를 연 컴퓨터는 악성코드에 감염돼 시스템 정보와 키 입력정보를 탈취당한다고 설명했다.
시큐아이는 지난 7일 작성된 악성 문서를 지난 8일 발견했다. 회사는 이게 오랫동안 국내를 공격해 온 APT 조직(김수키)의 악성코드라고 판단했다.
시큐아이 연구원은 악성파일에서 취약점 셸코드를 확보해 분석을 진행했다. 특정 웹사이트를 통해 추가 악성코드를 내려받아 동작한다는 걸 확인했다.
관련기사
- 시큐아이, RSA컨퍼런스서 차세대방화벽 '블루맥스NGF' 전시2019.03.12
- 시큐아이, 2019 파트너스데이 행사 개최2019.03.12
- "사람이 1~2시간 걸리는 관제 분석...AI로 5분만에 끝내"2019.03.12
- 시큐아이, 차세대방화벽·신사업으로 연 60% 성장 목표2019.03.12
시큐아이는 국내 특정 업체의 ERP서버를 악성코드 유포지로 사용하고 있어, 공개된 서버에 대한 점검이 필요하다고 지적했다.
시큐아이 김선호 콘텐츠개발팀장은 "최근 국내 기업 및 기관들을 타겟으로 하는 공격이 다수 발견되고 있어 주의가 필요하다"고 말했다.
