"시력보호프로그램" 보안관련 뉴스를 보고 옮깁니다.
2020.06.24 18:52
출처 https://www.datanet.co.kr/news/articleView.html?idxno=147337
- 김선애 기자
- 승인 2020.06.23 10:07
- 댓글 0
윈도우 64비트 기반 제작됐지만 32비트도 감염 가능
[데이터넷] 이스트시큐리티(대표 정상원)는 한국의 특정 인터넷 포럼 자료실을 통해 유용한 프로그램처럼 위장한 악성 파일이 불특정 다수에게 무차별 유포됐다고 밝혔다.
해당 악성 파일이 포함된 게시물은 22일 오전 8시 49분경 등록되었고, 당일 기준 약 1600여 명이 조회한 것으로 확인됐다. 악성 파일은 ‘시력 보호 프로그램’을 사칭하고 있으며, 23일 오전 기준 게시물은 삭제된 상태다.
이스트시큐리티 시큐리티대응센터(ESRC)는 공격자가 기존의 정상 프로그램을 임의로 변조해 파일 내부에 악성코드를 추가로 삽입하였고, 설치와 삭제 과정에서 악성코드가 은밀히 작동되도록 정교하게 기능을 추가한 것으로 분석했다.
해당 자료실에 등록된 프로그램을 다운로드해 실행하게 될 경우, 자신도 모르게 악성 프로그램에 감염돼 잠재적인 사이버 위협에 노출될 우려가 있다. 해당 악성코드가 윈도우 64비트 OS 기반으로 제작돼 사용 환경에 따라 다소 차이가 발생할 수 있고, 변종에 따라 32비트도 감염될 수 있다.
이스트시큐리티는 이 공격이 특정 정부가 배후로 지목된 일명 ‘라자루스(Lazarus)’ 그룹의 소행으로 분석했다. 이들은 미 재무부로부터 제재 대상인 해킹 조직으로 미국에선 ‘히든 코브라’라는 이름으로도 통용되며, 최근까지 국내외에서 매우 활발한 사이버 위협 활동을 펼치고 있는 것으로 악명높다.
국내에서는 주로 비트코인 등 암호화폐 거래 관계자를 표적으로 삼고 있고, 해외는 항공 및 군 관련 방위산업체 분야를 주요 공격대상으로 위협 활동을 펼치고 있다.
지난 4월 1일 감염병관리지원단을 사칭해 ‘인천광역시 코로나바이러스 대응’이라는 이메일 제목으로 악성 HWP 파일을 첨부해 공격한 사례가 이번 악성 파일과 코드 유사도가 매우 높은 것으로 분석되었다. 또한, 이러한 공격 수법은 2020년 상반기에 향상되고 있는 점이 주목된다.
이외에도 ▲블록체인 소프트웨어 개발 계약서 ▲비트코인 투자 카페 강퇴&활동정지 ▲국내 비트코인 거래소 지원서 사칭 ▲부동산 투자문건 사칭 등도 이번 위협의 연장선으로 조사됐다.
이번 악성 파일은 정상적인 실행 프로그램 중간에 Base64로 인코딩된 악성코드를 강제 삽입해, 설치 과정 중 마치 임시 파일이 생성되는 것처럼 보이도록 만든 특징도 갖고 있다.
이스트시큐리티 ESRC센터장인 문종현 이사는 “라자루스 조직원들이 스피어 피싱 기반 APT 공격뿐만 아니라, 유명 인터넷 커뮤니티 자료실에 악성 파일을 심는 과감한 공격 전술을 구사하고 있어 커뮤니티 이용자의 각별한 주의가 요구된다”고 지적하며 “또한 이 악성 파일은 이스트시큐리티에서 올해 상반기 공개했던 라자루스 공격 관련 여러 악성 파일과 코드 유사성이 거의 일치한다”고 설명했다.
댓글 [9]
-
촌로 2020.06.24 19:24
-
anfy 2020.06.24 19:52
처음보는 회원의 자료는 가급적이면 받지 않기를 권장합니다.
주기적으로 들어와 악성파일을 유포하는 사람이 있습니다.
닉네임을 바꿔가면 저녁 시간에 주로 올리더군요.
-
테츠로 2020.06.24 20:19
저도 받을까 말까 하다가..
윈도우 10 에서도 시력 보호 프로그램이 있는데 뭐 하러 이런 생각이 들어서 받지를 않았는데..
이걸 다행 이라고 해야 하나요..
하지만..
기분은 별로 않좋네요..
올린 사람은 어떤 목적으로 올렸을지는 몰라도..
피해를 보는 사람은 얼마나 고생 이겠습니까..
-
카니발 2020.06.24 20:27
저도 오늘 현재 자료실에서 다운받다가 못보던 아이디를 조심하자는 다른 회원님의 말씀이 생각나서 받던자료 날렸습니다. 속이 섬찟하더군요.
-
카니발 2020.06.24 20:28
못보던 아이디가 꽤 있네요.
-
둥근호박 2020.06.24 20:41
감사합니다
찿아보니 양심은 있어서 지웠네요
-
anfy 2020.06.24 21:16
양심 없는 사람입니다.
삭제되는 건... 누군가 댓글에 바이러스 있다고 올리거나 신고당해 삭제당하는 경우입니다.
이 사람 닉네임 바꿔가며 주기적으로 저녁 시간 틈따 상습적으로 올리고 있습니다.
(그리고 양심이 있다면 처음부터 올리지 않았겠죠.
지난 4월 사건을 모르시는군요. 이 사람 걸리지 않으면 자삭하지 않습니다.)
-
네오이즘 2020.06.24 22:36
와씨.. 다운받을뻔 했는데.. -
부는바람 2020.06.25 06:34
요즘 며칠 접속을 못하였는데 오히려 다행이었군요.
그런 행동을 하는 아이디가 있다면 공개적으로 밝혀서 혹시라도 있을지 모를 피해를 막는것은 어떨까 싶습니다.
본인이 원치않는 그런 오해를 받는다면 해명하여 공연한 오해 소지를 없앨수 있을테고....
PS 1 :
20150 최신업뎃에서 단어 마지막글자 입력후 스페이스를 누르면 마지막 글자가 사라지는것등등 때문에
20143.330으로 복원했는데, 멋대로 20150 으로 업뎃하더니 20152 로 또 업뎃되었습니다.
단어 입력문제가 해결된줄 알았더니...아직도 설정 언어 옵션에서 수정해야 하는군요.
PS 2 :
인터넷 뱅킹에서 공인인증서 팝업창뒤에 에러팝업창이 뜨는것도 여전하고..
에러 팝업창을 끄면 로그인되긴 하지만 손이 두어번 더 가는 번거로움이 남아 있네요.
자료실에 등록된 해당프로그램을 관심있게 지켜봤지만 생소한 아이디라 관심을 접었기에
위 내용은 여기를 지칭하는 게 맞는거같습니다. 행여 회원분들이 피해를 입을까봐 뉴스를 옮겨왔습니다.
아무쪼록 큰 피해없으시길 바랍니다.