> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
‘재산취득 자금출처 소명자료’ 제목 악성문서 유포
이스트시큐리티, 암호화폐 거래소 이용자 대상으로 진행…정상 공문서 이용해 공격 진행
2019년 08월 20일 15:45:18 김선애 기자 iyamm@datanet.co.kr

[데이터넷] 공개된 공문서 양식으로 작성된 악성문서가 국내 암호화폐 거래소 이용자를 대상으로 유포되고 있다.

이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 이 공격은 ‘재산취득 자금출처에 대한 소명자료 제출’이라는 제목으로 이메일을 통해 배포되고 있다. 이 문서는 인터넷에 공개된 실제 공문서 양식을 사용하고 있는데, 정상문서는 앞면과 뒷면 2장으로 구성돼 있지만 악성문서는 뒷면의 ‘소명자료 제출 요구서’만 포함돼 있다.

   

▲정상 공문서는 상기 그림과 같이 2장으로 구성돼 있지만, 악성메일에는 오른쪽의 ‘소명자료 제출 요구서’만 포함돼 있다. 

이 공격은 한글 문서 취약점과 MS 엑셀, 워드 매크로 기능을 활용한다. 악성문서에 포함된 악성코드는 3개의 C2 서버와 통신하는데, 동일한 시점에, 동일한 곳에서 등록된 것으로 확인됐다. ESRC는 공격자가 직접 C2 서버를 구축해 사용했을 가능성을 제기했으며, 최근까지 워드프레스 기반 웹서버가 C2 호스트로 악용됐다.

ESRC 관계자는 “암호화폐 이용자를 대상으로 꾸준히 공격이 이어지고 있다. 특히 국내 사용자 타깃 공격은 HWP와 오피스 문서 취약점을 악용하고 있으므로 소프트웨어 최신 보안 업데이트를 적용해야 한다”며 “이스트시큐리티는 해당 악성코드를 알약 치료기능에 추가해 대응하고 있다”고 말했다. 

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  이스트시큐리티, 암호화폐 거래소, 스피어피싱
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr