티스토리 뷰

이슈

이혼 소송 워드 파일 첨부 이메일 조심 - 북한 해커 악성코드 공격

달을품은태양 2023. 3. 18. 11:59

협의 이혼 의사 확인 신청서 워드파일이 첨부된 이메일을 받았다면 첨부파일을 절대로 열지 말자. 해당 메일은 북한의 해커가 악성코드를 유포하는 미끼 파일이라고 한다. 워드파일을 열고 콘텐츠 사용 버튼을 누르면 해커가 원격으로 컴퓨터를 조작할 수 있다. 이런 메일이 오면 즉시 삭제하고 찜찜하면 백신 프로그램의 전체검사를 하면 된다.

 

이혼소송-워드파일-첨부된-이메일-조심-경고-북한-해커-공격함
이혼 소송 워드파일 첨부 이메일 조심

 

 

 

이혼 소송 관련 워드 파일 첨부 이메일 조심

 

 

이혼소송-관련-첨부문서-내용-가짜문서-악성코드-숨겨져있음
해커들의 가짜 협의이혼의사확인신청서 워드 파일 내용 _출처 : 이스트시큐리티
법원에서-진짜-사용하는-이혼서류-협의이혼의사확인신청서-원본
협의이혼의사확인신청서 진짜 정식 문서 _출처 : 이스트시큐리티

 

최근 발생한 북한 해커들의 악성코드 공격은 위 그림처럼 이혼 소송 서류처럼 꾸민 워드 파일(doc, docx)을 통해 유포되고 있다고 한다. 만약 이런 메일을 받았다면 절대로 열어보면 안 된다.

 

워드파일의 내용은 정말 이혼을 하기 위한 문서를 보는 것 같다. '협의이혼의사확인신청서'라는 문서 제목과 함께 서식 제2-2호라고 하면서 법원에서 사용되는 문서 양식을 흡사하게 만들어 놓았다.

 

해당 워드 문서 형식의 파일에는 해커들의 원격접근을 허용하게 만드는 악성코드가 심어져 있다. 확장자가 '. doc'이지만 확장자는 '. hwp'의 한글파일로 되어 있다는 것이 특징이라고 한다.

 

 

 

북한 해커의 악성코드 공격은?

 

 

보안기업 이스트시큐리티에 따르면 최근 '협의 이혼 의사 확인 신청서’라는 제목의 워드 파일을 위장한 파일을 첨부한 악성 메일이 유포되고 있다고 전했다. 해당 공격의 배후에는 북한 정찰총국이 연루된 APT 조직인 '스모크 스크린’이 있는 것으로 확인되었다.

 

 

 

어떤 방식으로 해킹 공격을 하는 것일까?

 

 

북한-해커-보내온-결혼워드파일-열면-처음-나타나는-콘텐츠사용-버튼-유도화면
해커들의 워드 문서를 처음 열 때 보이는 콘텐츠 사용 버튼을 유도하는 장면 _출처 : 이스트시큐리

 

공격자는 사용자가 파일을 실행하면 ‘콘텐츠 사용’ 버튼 클릭을 유도한다. ‘콘텐츠 사용’ 버튼을 누르면 ‘협의이혼의사확인신청서’ 양식을 보여주면서 정상 파일인 것처럼 위장한다.

 

이때 백그라운드에서는 워드파일에 포함된 매크로가 자동 실행되면서 공격을 감행한다. 주목할만한 점은 일반적인 워드 파일과는 다르게 해당 파일 형식은 ‘. doc’ 파일이지만 ‘. hwp’ 파일 형식으로 보인다는 것이다. 이는 공격자들이 법원 전자민원센터에서 제공되는 한글 파일 (. hwp)을 워드 파일 (. doc)로 저장해 이번 공격의 미끼 파일로 사용했음을 추정할 수 있다.

 

이혼합의문서-워드파일-포함된-악성코드-매크로-모습
워드파일 내 포함되어 있는 악성 매크로 코드 일부 _출처 : 이스트시큐리티

 

매크로가 실행되면 공격자가 미리 설정해 놓은 c2에 접속하여 악성 파일을 version.ini 파일명으로 저장하고 실행한다. version.ini 파일이 실행되면 version.ini, runps.vbs, conf.ps1 파일을 생성하고 실행한다.

 

version.ini-실행후-생성된-파일목록-파일탐색기-아이콘
version.ini 실행 후 생성 된 파일 목록 _출처 : 이스트시큐리티

 

이후 'version.ini’은 공격자가 설정한 'c2’에 접속해 수 차례 추가 악성 파일을 다운로드한 뒤 최종적으로 콰사르RAT을 실행하게 된다. version.ini 파일은 실행 후 작업 스케쥴러 등록을 통하여 사용자 PC에서의 연속성을 확보하며, runps.vbs는 실행 후 conf.ps1를 실행하며, 실행된 conf.ps1 파일은 공격자가 지정해 놓은 c2에 접속하여 추가 파일을 내려받게 된다. 이후 몇 차례 c2 접속 및 파일 다운로드를 반복 후 최종적으로 최종적으로 QuasarRAT을 실행한다.

 

 

 

콰사르RAT 어떤 해킹조직일까?

 

 

콰사르RAT은 원격 접근 트로이 (Remote Access Trojan)의 한 종류로 공격자가 원격으로 컴퓨터를 조작할 수 있도록 허용하는 악성코드이다. 사용자 계정 및 사용자 환경 정보 수집이 가능하며 원격 코드 실행 및 파일 업·다운로드 등 추가 악성행위가 가능하다.

 

해커-모습-물음표-누구일까

 

콰사르RAT은 오픈소스 프로그램으로 인터넷에 자유롭게 배포되고 있고, 북한 해커들이 자주 사용하는 도구 중 하나이다. 주로 피싱 또는 스팸 메일이나 크랙 프로그램을 통해 유포되지만 최근에는 이혼 소송 서류처럼 꾸민 워드 파일을 통해 확산되고 있는 것으로 확인되고 있다.

 

콰사르RAT을 사용하는 해킹조직은 북한 정찰총국의 지원을 받는 APT (Advanced Persistent Threat) 조직인 '스모크 스크린’과 ‘APT37’ 등이 있다. 이런 해킹조직들은 중국뿐만 아니라 한국의 방산업체나 정부기관 등을 대상으로 공격을 시도하고 있으며 그 목적은 내부 정보를 수집하고 유출시키는 것이다.

 

 

 

첨부파일 등의 이메일 해킹 공격에 어떻게 대응해야 할까?

 

 

의심스러운 메일은 정부기관이라 하더라도 쉽게 첨부파일을 열지 말자. 신청하지 않았거나 관련 없는 문서를 왔다면 즉시 삭제하자.

 

그리고 백신 프로그램 설치와 업데이트를 꾸준히 해야 한다. 백신 프로그램은 컴퓨터를 보호하는 가장 기본적인 방법이다.

 

해커-멀리서-노트북-사용하는-사용자에게-해킹-낚시질-몰래-하는-모습

 

마지막으로 이미 문서를 열었다면 컴퓨터를 바로 종료하고, 컴퓨터 유선 연결선을 뽑고, 무선 공유기가 있다면 전원을 끄자. 그리고 컴퓨터에 백신 프로그램이 설치되어 있었다면 전체검사를 반드시 실행하자.

 

이렇게 해서도 불안하면 전문가에게 상담하자. 컴퓨터 내부에 숨어있는 악성코드를 제거하기 위해서는 전문적인 지식과 기술이 필요하다.

 

 

 

북한 해커들의 악성코드 공격은 이혼 소송 서류처럼 꾸민 워드 파일을 통해 유포된다. 만약 이런 메일을 받았다면 절대로 열어보지 말자! 그리고 백신 프로그램 설치와 업데이트를 점검하고 전체검사를 1번 실행하자. 컴퓨터 보안에 항상 주의하고 안전한 일상생활을 기원한다.

 

글 내용 참조 기사 등 출처 정보 :

https://www.news1.kr/articles/?4982849 : https://bizn.donga.com/List/3/all/20230315/118345619/2

https://news.nate.com/view/20230315n30171?mid=n0105 [/code blocks]

 

저작자표시 비영리 변경금지