pdf.zip 내 LNK 실행 시 hta 자동 다운로드 구조 확인
이스트시큐리티 "정보 주기적 탈취…국내 겨냥 공격 정황"

북한 정찰총국 산하 해킹그룹 김수키(Kimsuky)와 연관됐다고 알려진 KimJongRAT 악성코드가 국세 고지서 파일로 위장해 유포되고 있어 이용자 주의가 필요해 보인다.

2일 정보통신기술(ICT) 업계에 따르면 이스트시큐리티 시큐리티대응센터는 김수키 그룹과 연관된 원격 액세스 트로이 목마 KimJongRAT이 hta 파일로 퍼지고 있다는 리포트를 펴냈다.

hta 파일은 윈도우 프로세스를 활용해 인터넷에서 원격으로 hta를 직접 실행할 수 있어 공격자가 자주 사용하는 방식이다.

해당 파일은 국세 고지서 pdf.zip 파일명으로 유포됐으며, 피싱 메일로 최초 퍼진 것으로 추정되고 있다.

국제 고지서 pdf.zip에는 국세고지서.pdf 파일로 위장한 바로가기(LNK) 파일이 포함돼있다.

이용자가 바로가기 파일을 실행하면 내부에 인코딩된 값이 URL 값으로 되돌려 해당 URL에 접속하게 된다.

해당 URL에 접속하면 hta 파일을 다운받게 되는데 이를 실행하면 디코이 파일(랜섬웨어 예방을 위한 미끼 파일)과 악성파일이 다운로드 된다.

센터는 이번 공격의 특징은 윈도우 보안 프로그램에 따라 각기 다른 데이터를 전송하는 점이라고 설명했다.

리포트에 따르면 사용자의 보안 프로그램이 비활성화일 경우와 활성화 상태일 때 각기 다른 파일을 내려받고, 주기적으로 사용자 정보를 수집해 전송한다.

센터는 국내에 특화한 정보를 탈취하는 것으로 보아, 이번 KimJongRAT가 국내 타깃으로 정밀하게 제작된 악성코드라고 봤다.

센터는 "마이크로소프트(MS)가 보안을 강화하고 있지만, 레거시 시스템이나 보안이 약하게 설정된 환경에서는 KimJongRAT이 여전히 매우 효과적인 공격수단인 만큼 윈도우와 소프트웨어(SW)를 최신 버전으로 유지해야 한다"라고 강조했다.

이어 "파일 탐색기 내 파일 확장자명 보기 기능을 활성화하고 파일을 실행하기 전 반드시 확장자를 확인해야 한다"라고 덧붙였다.

<연합>