라자루스(Lazarus) 조직, 암호화폐 관계자를 대상으로 한 스피어피싱 지속

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

비트코인 등을 거래할 수 있는 특정 암호화폐 거래소 관계자를 대상으로 한 다양한 사이버범죄 시도가 꾸준히 발견되고 있습니다.

▶ 국내 비트코인 거래소 출금알림 이메일로 사칭한 피싱사기 주의보

▶ 비트코인 관련 내용으로 진행 중인 스피어피싱 공격 주의

▶ 문서파일 취약점 공격과 한국 가상화폐 거래자 대상 공격간의 연관성 분석

이런 가운데 마치 정상적인 채용관련 문의와 입사 지원을 사칭한 스피어 피싱(Spear Phishing) 공격이 추가로 발견되고 있어 관계자 분들의 각별한 주의를 당부드립니다.

[그림 1] 입사 지원서 메일로 위장한 스피어 피싱 공격 화면

공격자는 한메일 서비스를 이용하였으며, 수신자 역시 한메일을 쓰는 이용자 입니다. 수신자는 가상화폐 관련 사이트와 SNS 등에서 활동하는 것이 다수 확인됩니다.

[그림 2] 해외 가상화폐 관련 사이트에서 활동한 공격 대상자

공격자가 사용한 'alosha' 라는 계정은 그동안 여러차례 한국의 가상화폐 관련 사용자를 대상으로 꾸준히 공격하는데 사용된 바 있습니다.

[그림 3] 가상화폐 관계자를 대상으로 한 공격자 계정

이메일 본문에는 일반적인 입사지원 문의 내용을 포함하고 있으며, 한글과컴퓨터(한컴)사의 문서파일인 HWP 파일이 포함되어 있습니다.

해당 HWP 문서파일을 열람하면 다음과 같은 정상적인 화면이 보여집니다.

[그림 4] HWP 첨부파일이 실행된 화면

그러나 이 HWP 파일에는 'BIN0002.ps' 포스트 스크립트(Post Script) 코드가 바이너리 데이터에 포함되어 있고, Zlib 형식으로 인코딩된 데이터를 디코딩하면 내부에 악의적인 포스트 스크립트가 포함된 것을 알 수 있습니다.

[그림 5] HWP 문서에 포함된 'BIN0002.ps' 스크립트 디코드 화면

악의적인 스크립트 코드가 정상적으로 실행되면 해외의 특정 명령 제어 서버(C2) 3곳으로 통신을 시도하고, 만약 정상적으로 통신이 이뤄지면 감염된 이용자의 정보가 유출 되어집니다. 또한, 공격자의 명령에 따라 추가적인 악성 프로그램이 설치되어 원격제어 등의 공격이 진행될 수 있습니다.

- ccsnbao.com (47.91.16.75 / 일본)

- fmose.com (107.151.72.34 / 미국)

- 1688dsj.com (104.217.233.67 / 미국)

[그림 6] 3개의 명령 제어 서버(C2)로 통신을 시도하는 화면

이러한 표적공격의 위협에 노출되지 않기 위해서는 문서작성 프로그램 등을 항시 최신 보안업데이트로 설치하여야 하며, 입사지원서나 문의관련 메일의 경우도 각별한 주의가 필요합니다.

알약에서는 이런 종류의 악성파일을 Exploit.HWP.Agent 탐지명 등으로 탐지하며, 또 다른 변종 출현에 대비에 보안 모니터링을 강화하고 있습니다.