“북한 조선중앙통신 사이트서 악성코드 유포”
상태바
“북한 조선중앙통신 사이트서 악성코드 유포”
  • 김선애 기자
  • 승인 2015.01.20 09:57
  • 댓글 0
이 기사를 공유합니다

트렌드마이크로 “지난해 10월부터 방문자에게 악성코드 유포”

트렌드마이크로는 북한의 공식 뉴스 사이트인 조선중앙통신(www.kcna.kp)이 웹사이트 방문자에게 지난해 10월부터 악성코드를 유포해 온 것으로 밝혀졌다고 20일 발표했다.

트렌드마이크로는 블로그를 통해 북한 뉴스 매체 사이트를 통해 다운로드되는 11종의 악성코드 분석 결과를 밝히면서, 조선중앙통신의 특정 페이지를 방문한 방문자에 대해 FlashPlayer.zip이라는 정상 파일을 가장한 악성 파일을 유포하고 있었다고 설명했다. 이 악성 파일은 다시 여러 개의 악성코드를 다운로드해 궁극적으로 방문자의 데이터를 수집해 왔다.

웹사이트에 악성코드를 숨겨 놓고 방문자를 감염시키는 워터링홀(Watering Hole) 기법이 이용돼, 호기심 혹은 정보 수집을 목적으로 북한 뉴스 사이트를 방문한 사용자들이 공격에 노출됐을 것으로 보인다.

PE_WINDEX.A-O로 명명된 이 악성코드는 Ws2_32.dll 파일을 복사해 이름을 변경하고, SP{random}.tmp 파일을 생성해 컴퓨터 이름, 사용자 이름, OS 정보, MAC 주소 등의 데이터를 수집하는 것으로 나타났다.

또한 메모리에 상주해 악성코드와 백도어 루틴이 들어 있는 wtime32.dll 파일을 다운로드하며, 시스템을 재부팅하면 explore.exe는 A-Z까지 모든 드라이브에 들어 있는 .exe 파일을 감염시킨다.

분석 결과, 이 악성코드는 마이크로소프트사의 개발자 서명을 갖고 있는 것으로 확인됐다. 따라서 저작권 표시(All Rights Reserved)에 Microsoft Corporation이라고 표시된다. 설명과 코멘트에는 Windows Defender Extension이라는 문구가 들어있는데 이는 사용자가 이 파일에 대해 의심하지 못하게 하기 위한 것이다.

전세계 위협 정보가 실시간으로 업데이트되는 트렌드마이크로의 클라우드 보안센터에 따르면 악성코드 PE_WINDEX.A-O의 감염률은 2014년 10월부터 12월까지 지속적으로 증가한 것으로 나타났다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.