호텔 업계를 타겟으로 한 사이버 스파이 공격 수행 시도 발견

개요

파이어아이, 유럽 및 중동 호텔 방문자를 대상으로 악성 매크로가 포함된 스피어피싱 흔적 발견

 

 

 

주요내용

 

악성 워드문서 내에서 러시아 해커그룹 APT28의 GAMEFISH 악성코드를 발견

※ C&C 도메인으로 mvband.net과 mvtband.net를 사용

SMB 취약점을 이용하는 EternalBlue의 한 버전을 사용하고 있으며, Responder 툴을 통해 사용자 아이디 및 해시된 패스워드 값을 획득

※ Responder : NetBIOS Name Service(NBT-NS) 브로드캐스팅 쿼리에 거짓 응답하여 계정 정보를 탈취하는 오픈소스 파이썬 스크립트

탈취한 사용자 계정을 통해 네트워크 내 권한 상승 가능

파이어아이는 현재 타겟된 호텔에서 탈취된 정보는 없는 것으로 밝혔으며, 특히 정부 및 비즈니스 관계자들의 주의를 당부

<그림1. 피싱 이메일에 첨부된 악성 문서>

시사점

 

워드 문서의 매크로 자동 실행 금지 및 공용 와이파이보다 개인적인 핫스팟 사용 권고

 

[출처]

1. FireEye,, “APT28 Targets Hospitality Sector, Presents Threat to Travelers”, 2017.8.11.

2. BLEEPINGCOMPUTER “Russian Cyberspies Are Using NSA Tools to Target European Hotels”, 2017.8.11.