2024-06-24 03:00 (월)
비트코인 시세 급등…가상화폐 거래소 해킹 공격 주의
상태바
비트코인 시세 급등…가상화폐 거래소 해킹 공격 주의
  • 길민권 기자
  • 승인 2024.03.13 14:43
이 기사를 공유합니다

실제 업무 내용처럼 위장 접근 후 해킹 공격 시도
코니(Konni) APT 그룹 소행의 악성코드와 동일
정상 PDF 문서 실행 화면. 출처=지니언스

비트코인 가격이 사상 최고가 행진을 이어가고 있다. 국내 거래소 기준 1억원을 돌파하는 등 관심이 커지고 있다. 비트코인 시세가 급증하면서 이런 사회적 관심을 노린 해킹 공격도 발생하고 있어, 이용자들의 각별한 주의가 요구된다.

지니언스 시큐리티 센터(이하 GSC)는 3월 7일부터 '첨부.zip' 파일명으로 악성파일이 국내에 배포된 정황을 포착해 분석을 진행했다. 해당 압축파일 내부에는 '첨부1_성명_개인정보수집이용동의서.docx.lnk', '첨부2_*** 메일 내용(참고).pdf' 이름의 2개 파일이 포함돼 있다. (일부 표현 ***처리)

두개 중 '첨부1_성명_개인정보수집이용동의서.docx.lnk' 이름의 바로가기(LNK)가 실제 공격을 위해 포함된 악성파일이고, 다른 하나는 의심을 덜 받기 위한 미끼(Decoy)용 정상 PDF 문서다.

지니언스 시큐리티 센터는 이번 공격을 다음과 같이 분석했다.

초기 공격 수법은 계속 조사가 진행 중이며, 지금 시점에는 해킹 메일기반 스피어 피싱 공격 가능성을 높게 보고 있다. 먼저 공격에 쓰인 '첨부.zip' 압축파일은 다음과 같은 내용을 가진다.

압축 해제 후 확인하면, 'DOCX'나 'PDF' 문서처럼 보이는 두개의 파일이 존재한다.

하지만, 실제로는 '첨부1_성명_개인정보수집이용동의서.docx.lnk', '첨부2_*** 메일 내용(참고).pdf' 두개의 파일이 있다. 여기서 바로가기(LNK) 파일은 이중 확장자로 최종 확장자가 보이지 않기 때문에 아이콘과 확장자만 보고 MS Word DOCX 문서로 쉽게 착각할 수 있다. (일부 표현 ***처리)

이러한 전략이 전혀 새로운 방식은 아니지만, 2024년 상반기 기준 가장 성행하는 공격요소 중 하나다. 따라서 아이콘과 확장자를 꼼꼼히 살펴봐야 한다.

보통 이러한 공격은 이메일 첨부파일이나 SNS 메신저 등으로 전달되며, 압축파일 내부에 LNK 파일을 포함한다. 그러므로 압축해제 후 아이콘에 [화살표]가 포함돼 있다면 해킹시도로 봐도 무방하다.

위협 행위자는 의심을 최소화하기 위해 특정 가상자산 거래소의 안내 문서처럼 조작된 '첨부2_*** 메일 내용(참고).pdf' 파일을 공격에 함께 활용했다. 해당 본문 내에는 '개인정보 수집 이용동의서.docx' 문서에 대해 협조 요청을 하고 있다.

공격 시작은 '첨부1_성명_개인정보수집이용동의서.docx.lnk' 파일을 통해 진행되기 때문에 위협 행위자는 본문내용으로 간접 유인도 시도 했다. 아울러 바로가기 파일 내부에는 난독화된 파워쉘 명령을 포함하고 있다.

파워쉘 내부 명령에 따라 '첨부1_성명_개인정보수집이용동의서.docx.lnk' 파일은 같은 위치에 '첨부1_성명_개인정보수집이용동의서.docx' 파일로 교체되고 실행된다.

그 다음 공용 폴더 경로에 'UHCYbG.cab' 파일을 생성하고 공용문서(Documents) 위치에 압축을 해제한다. 해제된 파일이 실행되면, CAB 파일은 삭제된다.

압축 내부에는 파일이 포함돼 있고, VBS 스크립트에 의해 작동이 시작된다. 그 다음 조건에 따라 여러 BAT 파일이 호출되면서 사용자 컴퓨터 정보수집과 유출시도, 레지스트리 등록을 통한 지속성 유지와 추가 악성파일 설치 등이 수행된다.

이러한 과정을 거쳐 사용자 단말의 주요 정보가 저장되고, 위협 행위자가 지정한 명령제어(C2) 서버로 유출 및 추가 악성파일 다운로드가 시도된다.

지니언스 시큐리티 센터 관계자는 “이런 위협 사례는 지난 2023년 7월 31일과 9월 26일에 지니언스 블로그 위협분석 보고서로 발간한 코니(Konni) APT 캠페인의 연장선에 속한다. △국세청 우편물 발송 알림 사칭 공격 △통일 및 북한인권 분야 표적 사례와 공격에 쓰인 코드 유사도가 높다”며 “코니 그룹은 비트코인 거래 관계자 및 대북 분야 종사자 등 다양한 위협활동을 전개 중이다. 주로 LNK, VBS, BAT 유형의 악성코드를 개발해 공격에 사용하는 특징을 보이고 있다. 따라서 초기 유입을 예방하기 위해 바로가기(LNK) 파일에 대한 주의가 요구되고, 연쇄적으로 작동하는 배치파일(BAT)의 이상행위를 탐지하고 차단해야 한다. 특히, 위협 행위자들이 시그니처 기반의 탐지를 회피하기 위해 C2 서버와 명령 코드를 계속 바꾸고 있다”고 설명했다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★