Skip to content

2015 보도자료

보도자료 문의

pr@trendmicro.co.kr
Tel. 02-561-0990
Fax. 02-561-0660

북한 조선중앙통신 사이트 방문자를 겨냥한 악성코드 발견돼

등록일 : 2015-01-20

북한의 공식 뉴스 사이트인 조선중앙통신(www.kcna.kp)이 방문자를 겨냥해 지난해 10월부터 악성코드를 유포해 온 것으로 밝혀졌다.

글로벌 보안업체 트렌드마이크로는 최근 블로그를 통해 북한 뉴스 매체 사이트를 통해 다운로드되는 11종의 악성코드에 대해 분석한 결과를 상세히 밝혔다. 이에 따르면 특정 페이지를 방문한 방문자에 대해 FlashPlayer.zip이라는 정상 파일을 가장한 악성 파일이 유포되고 있었으며, 이 악성 파일은 다시 여러 개의 악성코드를 다운로드해 궁극적으로 방문자의 데이터를 수집해 온 것으로 알려졌다.

Diagram2

[그림] 악성코드 감염 다이어그램

웹사이트에 악성코드를 숨겨 놓고 방문자를 감염시키는 이른바 워터링홀(Watering Hole) 기법이 이용되어, 호기심 혹은 정보 수집을 목적으로 북한 뉴스 사이트를 방문한 사용자들이 공격에 노출되었을 것으로 보인다.

PE_WINDEX.A-O로 명명된 이 악성코드는 Ws2_32.dll 파일을 복사해 이름을 변경하고, SP{random}.tmp 파일을 생성해 컴퓨터 이름, 사용자 이름, OS 정보, MAC 주소 등의 데이터를 수집하는 것으로 나타났다. 또한 메모리에 상주해 악성코드와 백도어 루틴이 들어 있는 wtime32.dll 파일을 다운로드하며, 시스템을 재부팅하면 explore.exe는 A-Z까지 모든 드라이브에 들어 있는 .exe 파일을 감염시킨다.

또한 분석 결과, 이 악성코드는 마이크로소프트사의 개발자 서명을 갖고 있는 것으로 확인됐다. 따라서 저작권 표시(All Rights Reserved)에 Microsoft Corporation이라고 표시된다. 설명과 코멘트에는 Windows Defender Extension이라는 문구가 들어있는데 이는 사용자가 이 파일에 대해 의심하지 못하게 하기 위함이다.

전세계 위협 정보가 실시간으로 업데이트되는 트렌드마이크로의 클라우드 보안센터에 따르면 악성코드 PE_WINDEX.A-O의 감염률은 2014년 10월부터 12월까지 지속적으로 증가한 것으로 나타났다.

참고 블로그: 북한 조선중앙통신 사이트에서 악성코드 유포


Connect with KR on