북한 해커조직 라자루스가 제작한 한글 문서구조와의 악성코드 유사성 제기
[보안뉴스 김경애 기자] 최근 집값 폭등으로 국내 부동산 시장에 대한 관심이 높아지고 있는 가운데 한국부동산개발협회를 사칭해 ‘일일 동향보고’라는 문서로 위장된 악성파일이 발견됐다. 특히, 이번 악성파일 유포는 북한의 사이버공격 그룹으로 알려진 라자루스로 의심되고 있으며, 국내 사용자를 타깃으로 집중 유포되고 있다.
[이미지=하우리]
라자루스 그룹은 3.20 사이버테러, 소니픽쳐스 해킹, 방글라데시 중앙은행 해킹 등 주요 해킹 사건 때마다 등장하는 그룹으로 잘 알려져 있다. 더욱이 최근 미국이 북한 해커 박진혁을 지목하면서 박진혁이 라자루스 소속이라고 밝히기도 했다.
이번에 발견된 ‘일일동향보고_180913.hwp’ 악성 한글 문서에는 라자루스가 제작한 한글문서 구조와 악성코드가 유사한 것으로 조사됐다.
보안기업 하우리 측은 “북한의 사이버공격 그룹으로 알려진 라자루스는 국내를 타깃으로 한글문서 파일을 악용해 지속적인 공격을 시도하고 있다”며 “한글 구조 내부 PS 파일에 쉘코드를 포함하고 있으며 16바이트 XOR 키로 쉘코드를 복호화한다”고 분석했다.
쉘코드가 실행되면 특정 주소에서 파일을 다운로드한다. 다운로드 받은 profile_1.gif, profile_2.gif 파일을 실행하면 명령제어(C&C) 서버에 접속을 시도한다. 따라서 이용자는 메일 수신시 악성파일에 감염되지 않도록 백신은 최신 버전으로 항상 업데이트해 유지해야 하며, 의심되는 파일은 클릭하지 않도록 각별히 신경써야 한다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>