제 2차 북미 정상회담이 베트남 하노이에서 열리고 있는 가운데, 이와 관련한 자료로 위장한 사이버 공격 시도가 잇달아 발견되고 있다. 이스트시큐리티 시큐리티대응센터(ESRC)는 ‘북미2차정상회담.rar’라는 제목의 파일을 통해 APT 공격이 진행되고 있다고 27일 밝혔다.
이 위장파일은 RAR 확장자명으로 유포되지만, 실제로는 ACE 포맷을 갖고 있으며, 파이썬 기반 악성파일이 포함돼 있다. 파일은 암호기능이 설정되어 있으며, 공격자는 스피어 피싱(Spear Phishing) 이메일 본문 등에 해제용 암호를 담아 전송했을 것으로 추정된다.
악성파일은 암호화 및 압축을 통해 보안탐지를 회피하고 있으며, 악성파일이 시작 프로그램에 등록돼 재부팅 시 자동으로 실행된다. 악성파일이 실행되면 러시아 IP 주소로 통신을 시도하며 공격자의 추가 명령을 기다린다.
압축파일에는 ‘북미2차정상회담.hwp’ 파일도 포함돼 있으며, HWP 문서 파일도 암호설정 기능이 활성화 돼 있다. HWP 문서에는 북미 정상회담 관련 내용과 지난해 판문점 선언 내용이 포함돼 있다. ESRC는 “특이하게 베트남 회담 관련 내용과 판문점 선언은 다른 글씨체로 쓰여져 있어 내용을 임의 수정한 것으로 추정된다”고 설명했다.
이어 ESRC는 “이번 공격은 ACE 압축포맷 취약점(CVE-2018-20250)을 이용한 공격이 발견된 상황이므로, 압축 프로그램 이용자분들은 최신 버전으로 업데이트하기를 권장한다”며 “알약에서는 ‘Backdoor.Agent’ 유형의 탐지명으로 대응을 유지하고 있다”고 설명했다.
