Security_News/해외보안소식

MERS 뉴스에 편승 일본의 미디어 기업을 노리는 표적 형 사이버 공격 확인

Ryansecurity 2015. 7. 1. 21:14
728x90

"중동 호흡기 증후군 (MERS)"의 발생과 관련된 뉴스에 편승하여 일본의 대형 미디어 기업의 사원에 표적 형 메일을 보낸 표적 형 사이버 공격이 확인되었습니다. 공격자는 Yahoo! 메일 무료 계정을 이용하여 보안 제품을 쉽게 방지하고 인터넷에 공개되어 화제를 E 메일 헤더와 첨부 된 파일 이름을 사용하여받는 사람에게 E 메일을 읽을 시키려고했습니다. 그림 1은 일본의 미디어 기업의 직원들에게 보낸 표적 형 메일입니다. 제목은 "Fw : 중동 호흡기 증후군 (MERS)의 예방"첨부 파일 "중동 호흡기 증후군 (MERS)의 예방 .7z"라고되어 있습니다.

그림 1 : 일본 언론 기업 직원들에게 보낸 「MERS」에 관한 표적 형 메일
그림 1 : 일본 언론 기업 직원들에게 보낸 「MERS」에 관한 표적 형 메일

문제의 표적 형 메일은 CHM 파일을 포함한 압축 파일이 첨부되어 있습니다 ( "CHM_ZXSHELL.B"로 검색). CHM 파일은 Microsoft 온라인 도움말 파일 형식입니다. 이 파일은 인기 정보 사이트에서 MERS 관련 Web 페이지가 표시됩니다. 그러나 실제로는 뒤에서 백도어 악성 프로그램이 다운로드되도록 프로그램되어있었습니다. "ZXSHELL"는 표적 형 사이버 공격에 자주 사용되는 백도어 악성 프로그램입니다.

그림 2 : "BKDR_ZXSHELL.B"감염 사슬
그림 2 : "BKDR_ZXSHELL.B"감염 사슬

이번 공격은 "WINNTI"에 의해 실행 된 공격과 다양한 점에서 비슷합니다. "WINNTI"는 악성 프로그램 "WINNTI "제품군과 직접 관련이있는 온라인 비디오 게임 산업을 노린 표적 형 사이버 공격에 오래전부터 알려진 공격자 그룹입니다.

당사는이 공격을 계시 증거에 대한 추가 조사를 진행하고 있습니다.

당사는 언론 및 엔터테인먼트 기업이 네트워크에 저장하고 있다고 생각되는 대량의 개인 정보가 공격자가 이러한 기업을 노리는 동기라고 생각하고 있습니다. Sony Pictures의 침해 사례 에서 공격자는 직원의 개인 정보를 절취 한뿐만 아니라 미공개 영화의 동영상을 절취하거나 회사 임원의 급여 명세서를 유출 시켰습니다. 또한 언론 및 엔터테인먼트 기업은 선전을 전하는 대변자로 이용하기 위해 표적이 될 수 있습니다. 프랑스 텔레비전 네트워크 " TV5Monde '를 겨냥한 사이버 공격은 "이라크와 레반트의 이슬람 국가'의 선전을 전하는 매체로도되었습니다.

■ 온라인 도움말 파일이 "ZXSHELL"에 유도
첨부 된 압축 파일 (확장자 7z)는 CHM 파일이 포함되어 있으며, MERS에 대해 설명하는 일본어 정보 사이트의 Web 페이지와 같은 안전 보이는 내용을 표시합니다 (그림 2).

그림 3 : MERS 설명 일본 정보 사이트가 표시되는 CHM 파일
그림 3 : MERS 설명 일본 정보 사이트가 표시되는 CHM 파일

이번 공격은 CHM 파일은 백도어 악성 프로그램 "ZXSHELL"을 작성합니다 ( 「BKDR_ZXSHELL.B "로 검색). 이 백도어 악성 프로그램은 감염된 PC에 상주하며 공격자가 보낸 명령을 실행하기 위해 대기합니다. 또한 침입 한 네트워크의 개인 정보를 검색하기 위해 이용 될 가능성도 있습니다.

사이버 범죄 위협을 확산하고, 표적 형 사이버 공격을 실행하기 위해 CHM 파일의 이용은 꾸준히 공격자가 선호하는 방법 해지고 있습니다. 내장 된 악성 코드가 실행되지 않는 한 CHM 파일은 일반 파일이기 때문에 쉽게 Windows의 보안 대책을 피할 수 있습니다.

불법 활동을 위해 CHM 파일을 이용하는 것은 새로운 것이 아닙니다. 최근에는 파일을 암호화하고 몸값을 요구하는 Crypto 랜섬웨어 ' CryptoWall '가 PC를 감염하는 데에 CHM 파일을 이용했습니다. 그러나 표적 형 사이버 공격의 이용은 거의 없습니다. 또한 백도어 악성 프로그램 "ZXSHELL"는 Microsoft Office 나 일본어 워드 프로세서 '이치타로'에 존재하는 취약점을 이용하여 생성됩니다. 그러나 이번 공격에서 CHM 파일을 이용하여 취약점을 이용한 공격을 실행하지 않고 "ZXSHELL"을 이용하여 표적으로 한 PC에 감염 탐지를 피하기 또 하나의 방법이 공격 에 의해 제시되었다. 사용자는 익스플로잇 코드가 포함 된 악성 Web 사이트에 액세스하지 않도록 조심해야하지만, E 메일로 전송 된 도움말 파일에는주의를 기울이지 않을지도 모릅니다.

728x90
저작자표시 변경금지 (새창열림)