KTV 온라인 정책 시사저널 프로그램 출연 문의 위장 HWP 파일 유포
[데이터넷] 이스트시큐리티(대표 정진일)는 문화체육관광부 산하 한국정책방송원(KTV) 유튜브 방송 출연 섭외로 위장한 HWP 악성 문서가 전파되고 있어 각별한 주의가 요구된다고 23일 밝혔다. 이번에 발견된 공격은 KTV의 온라인 정책 시사저널 프로그램에 출연 문의를 요청하는 HWP 문서처럼 위장해 이뤄졌다.
공격자는 HWP 한글 문서 내부에 악성 OLE 명령을 추가해, 문서가 실행될 때 평소 많이 봤던 것과 비슷한 가짜 메시지 창 [상위 버전에서 작성한 문서입니다.] 화면을 보여줘 별다른 의심 없이 실행하도록 유도했다. 해당 HWP 내부에는 악성 OLE 파일이 삽입돼 있고, OLE 내부에 배치(Bat) 파일과 파워셸(Powershell) 명령어를 통해 특정 서버 ‘work3.b4a[.]app’로 통신을 시도했다.
이스트시큐리티는 이 공격에서 북한배후 공격그룹 ‘금성121’ 배후가 사용한 공통점이 있다고 설명했다. 러시아 얀덱스(Yandex) 이메일 사용과 해킹해 탈취한 개인정보 보관용으로 해외 클라우드 서비스를 악용했다.
문종현 이스트시큐리티 시큐리티대응센터장은 “북한 소행 사이버 안보위협이 계속되고 있으며, 해킹 대상자를 현혹하기 위해 보다 세련된 방식의 접근 수법도 진화를 거듭하고 있다”며 “특히 민간분야를 대상으로 한 북한 연계 사이버 위협이 날이 갈수록 고조되고 있어 민관합동 공조 강화가 무엇보다 중요하다”고 밝혔다.
저작권자 © 데이터넷 무단전재 및 재배포 금지