잉카인터넷(대표 주영흠)은 한국과 일본의 특정 기관을 노리는 지능형 표적공격 정황을 포착해 자사 제품 ‘엔프로텍트 AVS 3.0’에 업데이트했다고 8일 밝혔다.
공격 파일은 바로가기(.LNK) 파일형식으로 만들어져 있고, LNK 내부에 삽입된 악의적 스크립트 코드명령에 의해 특정 사이트로 연결이 된다. 이 과정에서 이용자 몰래 EXE 악성파일을 추가로 다운로드해 몰래 실행하는 일종의 원격실행 취약점이 작동하게 된다.
공격자들은 바로가기 파일이 문서파일처럼 보이도록 하기 위해서 아이콘을 워드패드(RTF)로 위장하거나 실제 가짜 문서화면을 실행해 이용자가 정상적인 문서파일로 인지하도록 현혹한다.
현재까지 한국과 일본을 상대로 한 공격 징후가 계속 발견되고 있는 상태이고, 대부분 바로가기 파일을 ZIP 등으로 압축해 이메일에 첨부하는 유포기법을 이용하고 있다. 실제 문서파일의 취약점을 공격하진 않았기 때문에, 기존의 문서기반 악성파일 탐지정책을 우회하거나 회피하기 위한 용도로 이용될 수 있어 각별한 주의가 요구된다.
이 공격은 다양한 변종이 발견 됐는데, 사례 중 하나로 ‘필요한 자료.rtf.zip’ 파일명으로 배포됐따. 이 사례는 내부에 ‘필요한 자료.rtf.lnk’ 이름의 악성파일이 포함돼 있고, 문서파일처럼 보이도록 하기 위해 2중 확장자로 만들어져 있다.
악성파일을 압축 해제하면 LNK 확장명은 보여지지 않고, RTF 문서포맷처럼 보여지며, 실행시 특정 사이트로 연결되어 추가적인 스크립트 명령어가 실행되도록 만든다. 이 명령어는 임시폴더(Temp)에 ‘u.js’ 라는 이름으로 생성되고 실행된다.
연결되는 스크립트 파일은 10진수 코드값으로 암호화돼 있으나 실제로 ASCII 코드값으로 변환되면 특정 사이트에서 ‘application.rtf’ 파일과 ‘config.exe’ 파일을 받아오며, 정상적인 문서파일이 실행된 것처럼 보이도록 하기 위해서 다운로드한 정상적인 ‘application.rtf’ 문서 파일을 실행하여 보여준다. 하지만 사용자 컴퓨터에는 ‘config.exe’라는 악성파일이 이용자 몰래 감염된다
문종현 잉카인터넷 대응팀장은 “바로가기 취약점을 이용해서 마치 문서파일 처럼 위장한 악성파일이 가 하고 있어 기업관리자들의 각별한 주의가 요망되며, 이에 따른 변종 악성파일이 다수 전파가 되고 있기 때문에, 운영체제와 각종 응용 프로그램의 보언 업데이트는 항상 최신 버전으로 업데이트하고, 출처가 불분명한 이메일의 첨부파일은 가급적 열람하지 않는 등의 기본적인 보안수칙의 준수가 필요하다”고 당부했다.
