이스트시큐리티, 암호화폐 거래소 이용자 대상으로 진행…정상 공문서 이용해 공격 진행
[데이터넷] 공개된 공문서 양식으로 작성된 악성문서가 국내 암호화폐 거래소 이용자를 대상으로 유포되고 있다.
이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 이 공격은 ‘재산취득 자금출처에 대한 소명자료 제출’이라는 제목으로 이메일을 통해 배포되고 있다. 이 문서는 인터넷에 공개된 실제 공문서 양식을 사용하고 있는데, 정상문서는 앞면과 뒷면 2장으로 구성돼 있지만 악성문서는 뒷면의 ‘소명자료 제출 요구서’만 포함돼 있다.
이 공격은 한글 문서 취약점과 MS 엑셀, 워드 매크로 기능을 활용한다. 악성문서에 포함된 악성코드는 3개의 C2 서버와 통신하는데, 동일한 시점에, 동일한 곳에서 등록된 것으로 확인됐다. ESRC는 공격자가 직접 C2 서버를 구축해 사용했을 가능성을 제기했으며, 최근까지 워드프레스 기반 웹서버가 C2 호스트로 악용됐다.
ESRC 관계자는 “암호화폐 이용자를 대상으로 꾸준히 공격이 이어지고 있다. 특히 국내 사용자 타깃 공격은 HWP와 오피스 문서 취약점을 악용하고 있으므로 소프트웨어 최신 보안 업데이트를 적용해야 한다”며 “이스트시큐리티는 해당 악성코드를 알약 치료기능에 추가해 대응하고 있다”고 말했다.
저작권자 © 데이터넷 무단전재 및 재배포 금지
