실시간 뉴스



문서 취약점 악용한 악성코드 여전히 '극성'


오래된 파일 내 'EPS' 취약점 계속 유효

[아이뉴스24 김국배기자] 문서 파일의 보안 취약점을 악용한 악성코드 공격이 여전히 극성을 부리고 있다.

새로운 취약점이 아닌 이미 패치가 나와있는 오래된 취약점들이 악성코드 유포에 활발히 쓰이는 모양새다.

17일 정보보안 업계에 따르면 최근 문서 파일 내부의 EPS(Encapsulated PostScript) 개체 취약점을 통해 악성코드를 유포하는 공격이 부쩍 늘었다.

EPS는 화면상에 그래픽 요소를 출력하는 용도로 제작된 어도비 스크립트 언어. 캡슐화된 형태를 통해 특정 개체 내 삽입할 수 있다.

실제로 이스트소프트는 최근 비트코인과 관련된 내용이 담긴 이메일에 악성 파일을 첨부해 진행된 스피어 피싱 공격들에서 EPS 취약점이 쓰인 사실을 확인했다.

지난 6월초 금융감독원을 사칭해 비트코인 거래 업무를 보는 법인 대표를 상대로 보낸 이메일에 포함된 한글(HWP) 악성 파일이 그 중 하나다. 공격 대상자는 실제 비트코인 거래 분야 관계자였다.

또 마이크로소프트 오피스 워드(DOCX) 유형의 악성 파일 사례도 발견됐다.

악성 파일들은 주소는 다르지만 중국, 미국 등 해외의 특정 명령제어(C2) 서버와 암호화 통신을 시도했다.

특히 두 문서에 의해 생성된 exe 악성 파일의 주요 함수를 비교해보면 100% 동일한 루린으로 제작됐을 뿐 아니라 2014년 미국 소니 픽처스 해킹 공격에 사용된 악성파일과 매우 유사하다고 이스트시큐리티 측은 분석했다.

소니 픽처스 공격은 북한 연계 해킹 그룹으로 추정하는 라자루스(Lazarus)가 배후로 지목된 사건이다.

앞서 다른 보안업체인 파이어아이와 이셋은 APT28 해킹 그룹이 EPS와 관련된 MS 오피스 신규(제로데이) 취약점(CVE-2017-0262)을 활발히 쓰고 있다고 추측했다. 해당 취약점은 악성 파일을 열면 원격코드 실행을 허용한다.

MS는 지난 5월 정규 보안 업데이트를 통해 이 취약점을 포함해 55개의 취약점을 패치한 바 있다.

한 보안 분석가는 "요즘에는 EPS 취약점을 악용한 공격이 활발하다"면서 "새로운 취약점이 아니라 이미 보안 패치가 나와 있는 취약점"이라고 설명했다.

이어 "출처가 불분명한 이메일의 첨부파일은 열어보지 않도록 각별한 주의해야 하며, 최신 업데이트 패치를 통해 취약점을 통한 악성코드 실행 공격을 예방할 수 있다"고 덧붙였다.

김국배기자 vermeer@inews24.com






alert

댓글 쓰기 제목 문서 취약점 악용한 악성코드 여전히 '극성'

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스