이스트시큐리티, 킴수키 조직 연계 추정되는 악성문서 발견
PDF 위장 2중 확장자로 악성코드 숨겨 유포
PDF 위장 2중 확장자로 악성코드 숨겨 유포
[데이터넷] 온라인에서 발급된 주민등록 등본으로 위장한 악성문서가 유포되고 있어 각별한 주의가 필요하다.
이스트시큐리티 시큐리티대응센터(ESRC)가 분석한 이 악성문서는 ‘주민등록등본.pdf’라는 이름 뒤여 다수의 공백을 두고 ‘.scr’ 확장자를 붙였다. PDF 문서로 보이도록 한 2중 확장자다. 악성코드는 화면 보호기(SCR)를 통해 EXE 실행파일과 동일하게 실행되며, 내부 리소스에 포함된 ‘주민등록등본.tif’ 이미지 파일을 생성하고 로드시킨다. 주민등록등본은 전직 ○○교육원 관계자와 관련된 것으로 보이는 개인정보를 담고 있다.
ESRC는 이 공격은 지난해 공개된 ‘청와대 녹지원/상춘재 행사 견적서 사칭 APT’를 일으킨 ‘블루 에스티메이트’의 변종으로 분석하고 있다. 당시 공격은 HWP 확장자 뒤에 많은 공백을 통해 악성코드 확장자를 숨긴 2중 확장자를 이용한 공격이었다.
ESRC 관계자는 “이번 APT 공격 배후에 킴수키 조직이 연계된 것으로 믿고 있으며, 상세한 분석 내용은 ‘쓰렛인사이드’ 위협 인텔리전스 리포트로 제공할 예정”이라고 밝혔다.
저작권자 © 데이터넷 무단전재 및 재배포 금지
