랜섬웨어뉴스

이스트시큐리티는 ‘한국 방산업체 망 분리 관련 요청사항’처럼 사칭한 악성코드가 발견돼 각별한 주의가 필요하다고 6일 밝혔다. 최근 문서파일 취약점을 이용한 APT(지능형지속위협) 공격 정황이 연이어 발생하고 있는 가운데, 방산업체까지 그 공격이 확대됐다.​ ​

이번 공격에 사용된 취약점 공격(Exploit) 코드는 제로데이 취약점은 아닌 것으로 확인됐다. 따라 현재 사용 중인 문서 작성 프로그램이 최신 버전으로 보안 업데이트를 유지하고 있다면 해당 위협에 바로 노출되지는 않는다.​

HWP 취약점 작동 방식을 상세히 분석한 시큐리티대응센터(ESRC) 소속의 악성코드 분석가 강석권 대리는 “문서 스트림 내부에 XOR 코드로 암호화된 포스트스크립트 셸코드가 작동하면 BMP 이미지 포맷에 정교하게 숨겨져 있던 악성 모듈이 실행된다”며 “한국 소재의 특정 호스트로 은밀하게 통신을 시작해 추가 명령 대기 및 잠복을 수행했다”고 설명했다.​

[ 지디넷 코리아 ] 황정빈 기자 ​  원문보기