[데이터넷] 코로나19 이슈를 악용한 사이버 공격이 전 세계에서 발생하고 있다. 코로나 바이러스 관련 상급기관의 지시사항이나 관련 뉴스로 위장한 이메일과 메시지가 세계 주요 공력그룹으로부터 발송됐다.

NSHC의 ‘코로나바이러스(COVID-19)를 악용한 해킹 그룹 활동 사례’ 보고서에 따르면 실제 코로나 관련 뉴스나 보고서를 위장해 제작된 공격이 다수 발생했다. NSHC는 13개 해킹그룹의 활동을 식별해 추적했다.

‘섹터A’ 그룹 속한 ‘섹터A05’, ‘섹터A07’은 한국, 미국, 영국, 중국을 대상으로 활동했다. ‘코로나 바이러스 관련 지시 사항’이라는 제목의 MS 워드파일 형태의 악성코드를 사용했다. 실행 시 내부에 포함된 매크로 스크립트가 공격자 서버로부터 파워쉘(PowerShell) 스크립트를 다운로드 받아 실행한다.

또한 북한 코로나 바이러스 상황을 주제로 하는 문서와 ‘북한의 코로나 바이러스를 테마로 하는 사이버 범죄 활동’과 관련된 실제 기사 본문을 활용하는 악성 문서가 발견됐다. 발견된 문서는 모두 영문으로 작성돼 있었으며, 실행 시 내부에 포함된 매크로 스크립트를 사용하여, 공격자 서버로부터 추가 악성코드를 다운로드 한다.

추가 다운로드 된 악성코드 중 일부는 맥OS 사용자를 대상으로 MS 워드의 기본 서식 파일을 교체하기 위한 파이썬(Python) 스크립트였으며, 공격자는 이를 이용하여 윈도우와 맥 OS 사용자 모두를 대상으로 한 해킹 활동을 진행한 것으로 판단된다.

정부기관·수상 코로나 지침으로 위장

‘섹터B’에 속한 ‘섹터B01’, ‘섹터B04’, ‘섹터B06’, ‘섹터B08’, ‘섹터B22’ 등 5개 그룹 활동이 발견됐다. 몽골, 한국, 베트남, 중국, 홍콩, 러시아, 미국, 키르기스스탄, 파키스탄, 필리핀, 대만, 우크라이나, 벨라루스, 영국에서 이들의 광범위한 활동이 확인됐다.

이 중 공격자는 주로 중앙아시아, 동아시아와 동남아시아에 위치한 국가들을 대상으로 공격 활동을 수행했으며, 발견된 악성코드는 대부분 CVE-2017-11882 취약점을 포함하는 RTF 문서 형태였다.

그 중 하나는 몽골 외무부에서 보낸 것으로 위장한 것이다. 공격자는 몽골의 정부 기관등에 몽골의 외무부에서 작성한 것으로 위장한 RTF 문서를 유포했으며, 문서는 ‘코로나 바이러스 유병률’이라는 주제를 사용해 작성됐다. 이는 CVE-2017-11882 취약점을 포함하며 실행 시 DLL 파일 형식의 악성코드를 드롭(Drop)하고 추가 악성코드를 다운로드 한다. 또한 위와 동일한 공격 방식을 사용해 몽골 보건부에서 작성한 것으로 위장한 RTF 문서가 추가적으로 발견되기도 했다. 이는 ‘코로나 바이러스 일일 보고서’를 주제로 작성됐다.

베트남 수상의 코로나 관련 지침서로 위장한 악성 문서도 발견됐다. 상기와 동일한 취약점을 포함한 다른 RTF 파일이 발견되기도 했다. 발견된 문서는 베트남 수상이 발표한 ‘COVID-19 질병 예방 및 관리 촉진’이라는 주제로 작성돼 있다.

베트남과 관련된 해킹 활동에서는 문서 파일로 위장한 바로가기(LNK) 파일 형식의 악성코드가 발견되기도 하였으며 이 경우, 악성 코드 실행 시 내부 명령어를 통해 실행 파일을 생성하기 위한 비주얼 베이직 스크립트(VBScript)가 실행되고 ‘코로나 바이러스에 대한 베트남 총리’의 지시문을 주제로 작성된 정상 문서가 보인다.

한국 특정 종교 단체 긴급 연락망 위장

한국의 특정 종교 단체 긴급 연락망으로 위장한 악성 문서도 발견됐다. 엑셀 문서와 파워포인트(PPT) 파일로 코로나 바이러스 감염과 관련된 특정 종교 단체의 긴급 연락망으로 위장했다. 해당 문서는 RLO(Right to Left Override) 방식을 사용하는 SCR 파일로, 실행 시 VBS 스크립트를 사용하여 추가 악성코드를 다운로드 받는다. 해당 활동에서 사용된 C2 서버는 섹터B 내 섹터B08 그룹의 3월 초 발견된 다른 해킹 활동에서도 동일하게 발견됐다.

이외에도 CVE-2017-11882 취약점을 사용하여 몽골과 베트남을 공격했던 것과 동일한 방식을 사용한 악성 문서가 발견됐으며, ‘코로나 바이러스로 인한 예산 절감’을 위해 키르기스스탄의 대통령과 재무 장관의 논의 내용을 주제로 하는 뉴스 기사 본문을 활용했다.

중국에서 또한 문서 파일로 위장한 LNK 파일을 활용한 악성코드가 발견되기도 했으며, 베트남의 사례와 동일하게 악성코드 실행 시 VBS가 실행되고, 실제 WHO가 각국의 보건 당국과 공유한 실제 코로나 바이러스 관련 보고서 PDF 파일이 보인다.

섹터C 내 섹터C08 그룹의 활동이 발견됐으며, 우크라이나, 러시아, 홍콩, 필리핀, 미국에서 이들의 활동이 확인됐다. 공격자는 매크로 스크립트가 포함된 MS 워드 파일 형식의 악성코드를 사용했으며, 이는 우크라이나 보건부의 공중 보건센터에서 발송한 것으로 위장한 ‘코로나 바이러스 관련 뉴스’를 주제로 작성돼있다. 해당 문서 실행 시 내장된 매크로 스크립트가 실행돼 .NET으로 제작된 다운로더를 실행하고, 공격자 서버로부터 추가 악성코드를 다운로드 받는다.

건강 권고문 위장 악성코드 발생

리비아, 터키, 프랑스, 이집트에서 활동하는 섹터D 내 섹터D11 그룹은 코로나 감염자 현황 앱으로 위장한 안드로이드 APK 악성코드가 발견됐다. 악성앱은 감염 기기에서 통화와 SMS 기록, 네트워크 정보, 위치 정보, 오디오 수집 등의 기능을 수행하고, 수집한 정보를 공격자 서버로 전송한다.

섹터E 내 섹터E01 그룹은 중국, 일본, 홍콩, 영국, 이탈리아 등에서 활동하며, 중국 보건부 지시로 여행객의 방문 지역을 조사하기 위해 작성된 문서 양식으로 위장했다. CVE-2017-8570 취약점이 포함된 MS 워드 파일 형식의 악성코드를 사용했으며, 본문에 ‘제출’ 버튼을 클릭해 작성한 정보를 직접 제출하라는 문구가 적혀 있으며, 이를 클릭하는 경우 공격자 서버로부터 추가 악성코드를 다운로드 한다.

코로나 관련 뉴스 기사로 위장한 악성 코드를 배포한 섹터F 내 섹터F01은 중국, 우크라이나, 스페인에서 활동한다. 중국에서 개발한 문서 편집기인 WPS 오피스(WPS Office) 프로그램을 사용해 악성 DLL 파일을 로드하는 DLL 사이드 로딩(DLL Side Loading) 방식을 사용했다.

프로그램 실행 시 악성 DLL 파일을 로드 한 후 사용자의 의심을 피하기 위해 ‘코로나 바이러스’와 관련된 뉴스 기사 본문을 포함한 정상 파일을 보여주고, 백도어를 실행하여 감염 시스템 정보를 수집한다.

건강 권고문으로 위장한 악성코드도 있다. 섹터H 내 섹터H03 그룹은 인도, 네덜란드, 헝가리에서 활동한다. 매크로 스크립트를 포함하는 MS 엑셀 파일 형식의 악성 문서를 활용했으며, 이는 인도 정부에서 보낸 건강 권고문으로 위장돼 있다. 악성 문서 실행 시 내장된 원격 제어형 악성코드가 드롭되며, 브라우저에 저장된 로그인 정보 수집과 시스템 내 저장 중인 파일 수집 등의 정보 수집 기능을 수행한다.

독일, 이탈리아, 캐나다, 그리스, 프랑스, 미국, 네덜란드, 중국에서 활동하는 섹터J04 그룹은 코로나 관련 내용으로 작성된 스팸메일을 발송했다. 메일 본문에 포함된 링크를 클릭할 경우, 공격자 서버로부터 매크로 스크립트가 포함된 악성 문서를 다운로드한다. 메일에 첨부된 악성코드는 MS 오피스(MS Office)와 관련된 내용을 사용하는 기존의 특성을 유지하였다. 악성코드 실행 시 시스템에서는 랜섬웨어 또는 뱅킹 트로이 목마가 실행된다.

한편 NSHC는 ‘쓰렛리콘팀(ThreatRecon Team)의 특화된 위협 탐지체계를 이용해, 위협 정보를 수집·분석, 기업 환경 내 활용 가능한 인텔리전스 정보를 제공한다.