[데이터넷] 세계 최대 소비자 가전 박람회 ‘CES 2020’의 참관단 참가신청서를 위장한 APT 공격이 발견됐다.
이스트시큐리티(대표 정상원)에 따르면 내년 미국 라스베이거스에서 개최될 ‘CES 2020’ 참관단 참가 신청서를 사칭한 악성메일이 유포되고 있다. 실제로 주최측이 최근 참관단을 모집했으며, 10월 18일 마감됐다.
악성메일은 HWP 취약점을 악용했으며, 보안 시스템의 탐지를 회피하기 위해 허위 명령 제어(C2) 서버와 통신 행위를 넣어두었다. 이스트시큐리티는 이번 악성코드의 위협 벡터와 코드 수법이 올해 상반기부터 최근까지 발견된 암호 화폐 거래 관계자를 노린 위협 활동 범주에 속해 있어 관련성 여부를 조사하고 있다고 밝혔다.
이스트시큐리티 시큐리티대응센터(ESRC)의 문종현 센터장은 “이번에 발견된 취약점은 이미 보안패치가 완료된 상태이므로, 이용자들은 사용 중인 한컴 오피스를 최신 버전으로 업데이트하여 유사한 보안 위협에 노출되지 않도록 해야 한다”며 “이번 공격은 라자루스 APT 공격그룹이 벌인 것으로 보인다. 라자루스가 최근 다양한 내용의 문서 파일로 표적 공격을 수행하고 있으므로 각별히 주의해야 한다”고 말했다.
ESRC에서는 피해를 방지하기 위해 공격에 사용된 악성 파일을 분석하고 있으며, 상세 분석 내용은 자사의 인텔리전스 기반 악성코드 위협 대응 솔루션 ‘쓰렛인사이드(Threat Inside)’에 공개할 예정이다.
또한 이번 악성코드는 백신 프로그램 ‘알약(ALYac)’에서 탐지명 ‘Exploit.HWP.Agent’로 차단하고 있다.
