APT 공격그룹 코니, 한글파일 취약점 이용한 공격 나섰다

실시간
뉴스

침해사고/위협동향

APT 공격그룹 코니, 한글파일 취약점 이용한 공격 나섰다

디지털데일리 발행일 2019-10-02 07:57:55

홍하나

URL복사

[디지털데일리 홍하나기자] ‘코니조직’으로 불리는 지능형지속위협(APT) 공격 그룹이 HWP 한글문서 취약점을 적극 활용하기 시작했다.

2일 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면, 최근 코니조직이 유포한 ‘마켓팅플랜.hwp’의 한글문서가 발견됐다. 이 악성문서 파일은 10월 1일 제작됐다. 파일에는 암호화폐 채굴(마이닝) 관련 내용이 담겼다.

문서파일은 포스트 스크립트를 포함한다. 포스트 스크립트 내부에는 악성스크립트 명령과 쉘코드가 숨겨져 있다. 만약 고스트 스크립트 모듈의 취약점이 작동할 경우, 공격자가 지정한 명령제어 서버와 통신을 수행한다.

지난 7월에도 비슷한 유형의 공격이 발견됐다. 당시 발견된 파일은 마이크로소프트(MS) 워드 DOC 문서파일로, 매크로 기능을 사용했다. 명령제어 서버 주소로 통신을 수행한다. 이후 해커의 명령에 의해 파일이 다운로드되고, 실행되면서 감염된다.

문종현 ESRC 센터장은 “코니 조직의 한국 암호화폐, 대북 분야 관계자를 겨냥한 표적 공격은 증가하고 있다”며 “이들은 PC용 컴퓨터 기반의 위협 뿐만 아니라, 안드로이드 스마트폰 단말을 대상으로 한 모바일 위협에도 가담하고 있다”고 밝혔다.

한편, ESRC는 코니조직이 김수키 조직과 연관성이 높다고 분석했다. 김수키 조직은 특정 국가의 지원을 받는 것으로 알려진 해커 조직이다.

<홍하나 기자>hhn0626@ddaily.co.kr