구글 드라이브, 원드라이브, 드롭박스 활용해 악성코드 유포
다양한 파일 포맷과 주제를 활용한 디코이 문서로 악성코드 감염 숨겨
파일 실행 전, 파일 확장자와 포맷이 일치하는지 확인 필요
최근 구글 드라이브(Google Drive), 원드라이브(OneDrive), 드롭박스(DropBox)와 같은 클라우드 서비스를 활용한 APT 공격이 증가
ASEC(안랩 시큐리티 인텔리전스 센터)의 분석결과 △경찰청 사이버수사국 △거래내역 확인서 △예비군 교육훈련 소집통지서 △아파트 전세계약서 △근로계약서 △대학교 협조 요청문 △기업 납품 확인서 △국제 정세 관련 등 다양한 주제의 디코이 문서가 확인
공격자는 악성 스크립트 및 RAT 악성코드, 디코이 문서 파일 등을 클라우드 서버에 올리고 유포하는 방식으로 공격을 이어간다. 이때 디코이 문서란 악성코드 유포를 감추려 의도적으로 설치되는 위장 파일 및 데이터를 말한다. 실행 파일(exe), 바로가기 파일(LNK) 및 워드 문서, 한글 문서, PDF 등 다양한 포맷의 파일이 존재
LNK 파일에는 파워쉘 명령어가 존재한다. 파일이 실행되면 Base64로 난독화된 명령어를 디코딩해 TEMP 폴더에 ‘ms_temp_08.ps1’로 저장된다. 해당 파일은 디코이 문서 파일과 추가 악성 파일 다운로드 및 작업 스케줄러를 등록한다.
이후 디코이 문서인 정상 HTML을 내려받는다. 이때 다운로드 된 파일명이 LNK 파일과 동일한 ‘경찰청 사이버수사국 – 인터넷 이용 기록 (PC안전을 위해 지금 바로 확인해주세요).html’이다. ASEC는 “사용자가 악성 행위가 수행됨을 인지하기 어렵게 만드는 장치”라고 설명했다.
'정보보안 > 정책 및 기술' 카테고리의 다른 글
| 신종 학폭 - 피해 학생 개인정보 받아내 도박, 사기에 이용 (0) | 2024.08.12 |
|---|---|
| '티매프 사태' 개인정보 처리 규정 (0) | 2024.08.04 |
| 의료시설 표적 해킹 및 데이터 테러 (0) | 2024.07.15 |
| 개인의 모든 것을 해킹하는 해커 (0) | 2024.07.05 |
| 개인정보 판매 제한 미국 행정 명령 발효 (0) | 2024.06.28 |