구글 드라이브, 원드라이브, 드롭박스 활용해 악성코드 유포
다양한 파일 포맷과 주제를 활용한 디코이 문서로 악성코드 감염 숨겨
파일 실행 전, 파일 확장자와 포맷이 일치하는지 확인 필요

[보안뉴스 박은주 기자] 최근 구글 드라이브(Google Drive), 원드라이브(OneDrive), 드롭박스(DropBox)와 같은 클라우드 서비스를 활용한 APT 공격이 활개 치고 있다. 공격 배후로는 북한 해킹그룹이 유력하다. 정보 유출, 추가 악성코드 다운로드뿐만 아니라 감염 시스템 제어 등 다양한 악성 행위가 벌어질 수 있어 각별한 주의가 요구된다.


▲경찰청 사이버수사국을 사칭한 LNK 파일[자료=ASEC]

공격자는 악성 스크립트 및 RAT 악성코드, 디코이 문서 파일 등을 클라우드 서버에 올리고 유포하는 방식으로 공격을 이어간다. 이때 디코이 문서란 악성코드 유포를 감추려 의도적으로 설치되는 위장 파일 및 데이터를 말한다. 실행 파일(exe), 바로가기 파일(LNK) 및 워드 문서, 한글 문서, PDF 등 다양한 포맷의 파일이 존재한다.


▲다양한 디코이 문서[자료=ASEC]

ASEC(안랩 시큐리티 인텔리전스 센터)의 분석결과 △경찰청 사이버수사국 △거래내역 확인서 △예비군 교육훈련 소집통지서 △아파트 전세계약서 △근로계약서 △대학교 협조 요청문 △기업 납품 확인서 △국제 정세 관련 등 다양한 주제의 디코이 문서가 확인됐다.

이중 경찰청 사이버수사국을 사칭한 LNK 파일 악성코드 동작 과정을 살펴봤다. 해당 LNK 파일은 HTML 문서로 위장하고 있으며, 사용자 클릭을 유도하는 ‘PC안전을 위해 지금바로 확인해주세요’라는 파일명으로 설정돼 있었다.


▲RAT 유형 악성코드 실행 과정[자료=ASEC]

LNK 파일에는 파워쉘 명령어가 존재한다. 파일이 실행되면 Base64로 난독화된 명령어를 디코딩해 TEMP 폴더에 ‘ms_temp_08.ps1’로 저장된다. 해당 파일은 디코이 문서 파일과 추가 악성 파일 다운로드 및 작업 스케줄러를 등록한다.

이후 디코이 문서인 정상 HTML을 내려받는다. 이때 다운로드 된 파일명이 LNK 파일과 동일한 ‘경찰청 사이버수사국 – 인터넷 이용 기록 (PC안전을 위해 지금 바로 확인해주세요).html’이다. ASEC는 “사용자가 악성 행위가 수행됨을 인지하기 어렵게 만드는 장치”라고 설명했다.


▲LNK를 통해 실행되는 파워쉘 명령어[자료=ASEC]

이후 TEMP 폴더에 파워쉘 스크립트 파일을 만들고, 30분마다 자동으로 실행하도록 MicrosoftUpdate 명으로 작업 스케줄러에 등록했다. 또한, 공격자 드롭박스에서 SoJ****-F.txt 명의 파일을 내려받아 TEMP 폴더에 ‘first.ps1’명으로 저장 후 실행했다.

ASEC는 “최근 바로가기 파일을 이용한 다수의 악성코드가 퍼지고 있다”며 “파일 실행 전 파일명의 확장자와 포맷이 일치하는지 확인이 필요하다”고 주의를 당부했다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>