[아이티데일리] 코로나19 마스크 품귀현상 이슈를 악용한 APT 공격이 발견돼 사용자의 각별한 주의가 요구된다. 해당 APT 공격에 사용되는 악성 문서 파일을 열어볼 경우 사용자 PC에 악성코드가 설치되고 주요 정보가 탈취될 수 있다.

22일 이스트시큐리티(대표 정상원)은 공격 그룹 코니(Konni)의 소행으로 추정되는 마스크 품귀현상 이유를 악용한 APT 공격이 발견됐다고 22일 밝혔다.

새롭게 발견된 악성 문서는 ‘guidance’라는 파일명을 사용한다. 이 악성 문서를 열어보면 문서 내용이 제대로 보이지 않으며, 문서 내용 확인을 위해 상단에 나타난 ‘콘텐츠 사용’ 버튼을 클릭하도록 유도한다. 만약 ‘콘텐츠 사용’ 버튼을 클릭할 경우 최근 이슈가 되고 코로나19 바이러스 관련 마스크 소개 내용을 담은 문서를 보여주며 악성코드 감염 의심을 회피한다.

하지만 실제로는 공격자가 미리 설정해둔 악성 매크로 코드가 동작하며 사용자 몰래 자동으로 추가 파일을 실행한다. 이후 공격자의 명령제어(이하 C2)서버에서 추가로 악성 파일을 다운로드해 사용자 정보를 탈취하는 기능을 가진 최종 악성코드를 설치한다. 악성코드가 설치될 경우 공격자가 지정한 FTP로 감염된 PC의 시스템 정보와 실행 중인 응용프로그램, 관련 작업, 프로세스 목록 정보가 업로드되며, C2 서버를 통한 추가 공격 명령도 수행할 수 있게 된다.

ESRC는 악성코드 설치과정에서 공격자가 탐지와 분석을 회피하기 위해 커스텀 Base64 코드를 적용했고, 이는 기존 코니 조직이 사용한 방식과 동일한 것으로 분석했다.

이번 공격의 주체로 추정되는 APT 공격 그룹 ‘코니’는 지난 몇 년간 꾸준히 국내를 타깃으로 APT공격을 수행하고 있다. ▲올 1분기 러시아어로 작성된 ‘북한의 2020년 정책 문서’ ▲‘일본 2020년 패럴림픽 관련 자선단체 문서’ 사칭 ▲‘Keep an eye on North Korean Cyber’ 등 악성 doc 문서를 활용한 공격 등을 진행하고 있는 것으로 추정된다. 이스트시큐리티 시큐리티대응센터(ESRC)에서는 이미 수차례 위협을 확인하고 경고한 바 있다.

문종현 이스트시큐리티 ESRC장은 “이번에 발견된 마스크 관련 정보로 위장한 악성 문서는 MS워드(MS- Word)로 작성됐고, 한국어 기반의 시스템 환경에서 4월 21일에 생성된 것으로 추정된다”며, “활용된 공격 벡터와 코드 기법 등을 분석한 결과 코니(Konni) 조직의 공격임을 확인했다”고 설명했다.