보안전문기업 ㈜하우리(대표 김희천, www.hauri.co.kr)는 국내 특정 은행을 겨냥한 APT 공격용 악성문서가 발견되었다고 4일(수) 밝혔다.

특정 은행을 겨냥하여 발송된 해킹 메일은 지난 주 28일(수) 해외에서 배송되는 송장 형태로 발송되었으며, 메일에 첨부된 악성 워드문서를 열람할 경우 워드 문서 취약점에 의해 악성코드가 다운로드 되도록 제작되어 있다.

해당 악성코드에 감염되면 네트워크 방화벽 등록, 각종 정보 절취, C&C 서버에 접속하여 악의적인 명령 수행이 이루어지기 때문에 은행 내부에 감염되면 치명적일 수 있다.

[그림 1] 국내 특정 은행을 겨냥한 해킹 메일

또한, 해당 악성코드를 열람할 경우, 정상 문서 파일이 보여짐과 동시에 악성코드가 함께 동작하기 때문에 사용자가 의심하기 어렵다. 발견 당시, 감염 후 생성된 악성코드를 국내 백신프로그램들이 대부분 진단하지 않는 상태이며, 현재 정부기관 및 백신업체에 공유하여 긴급 대응 중인 상태이다.

<주요 악성코드>
- (TEMP 폴더)\cv.doc // 정상 문서 파일
- (TEMP 폴더)\(랜덤).tmp // 악성파일
- (사용자 계정 폴더)\Application Data(랜덤)\(랜덤).exe // 악성파일

[그림 2] 해킹 메일에 첨부된 악성 doc 문서

보안대응센터 김정수 센터장은 “금융거래시 필요한 PC 보안 모듈을 악용한다던가 가짜 금융 앱을 가장하여 금전 탈취를 목적으로 한 지능적인 악성코드들이 최근 발견되고 있는 가운데, 은행내부를 타겟으로 APT 공격이 이루어진다면 더욱더 치명적이고 위협적일 수 밖에 없다. 금융피해가 발생하지 않도록 모바일과 PC 환경에서 발생하는 보안위협에 대한 주의와 경계가 필요하다.” 라고 말했다.

현재 하우리 바이로봇 제품으로 최신 업데이트 받으시면 본 악성코드를 진단/치료 할 수 있다.