본문 바로가기

angry_witch_story/## Witch News_ Tip!!

이메일 첨부파일 잘못 클릭했다간...PC·스마트폰까지 해커 ‘장악’ , 자바 아카이브 파일(이하 jar

Supported by 보안뉴스

“수상한 이메일을 특히 조심해야 한다”

이메일 첨부파일 형태로 애드윈드 악성코드 유포

악성코드 피해, PC뿐만 아니라 모바일까지 이어질 수도 악성코드 감염시 해커가 원격에서 완벽하게 통제

 

최근 자바 아카이브 파일(이하 jar) 형식으로 위장한 ‘애드윈드’ 악성코드가 이메일을 통해 유포되고 있는 것으로 드러났다. 이메일 첨부파일을 클릭해 해당 악성코드에 감염될 경우 사용자 PC 뿐만 아니라 자칫하면 스마트폰까지 해커에 의해 완전히 장악 당할 수 있어 각별한 주의가 필요하다.

 

순천향대 SCH사이버보안연구센터(센터장 순천향대 염흥열 교수)에 따르면 jar 파일 형식을 갖는 원격접속 트로이목마(이하 RAT)인 애드윈드 악성코드가 이메일을 통해 유포되고 있다고 밝혔다. 해당 악성코드는 jar 파일 확장자 형식을 사용함으로써 악성코드로 인한 피해가 모바일 운용체제 환경까지 확대될 위험성이 크다는 지적이다. 

애드윈드 RAT는 스피어피싱 공격에 자주 악용된 악성코드로, 특히 지난 2015년 싱가폴 은행 직원들 메일로 유포된 적이 있다. 애드윈드는 AlienSpy, Frutas, Unrecom, Sockrat, JSocket, jRat 이라는 다양한 이름을 가지며, 여러 변종들이 존재한다. 또한, 공격자가 구매해 사용할 수 있는 백도어 프로그램으로, 자바 기반으로 작성되어 작동하는 운영체제 환경이 윈도우, OS X, 리눅스, 안드로이드 등을 모두 포함한다. 

 

SCH사이버보안연구센터에서 입수한 애드윈드 악성코드는 메일의 첨부파일로 유포되고 있으며, 첨부된 파일인 image003.png.zip 파일이 악성코드를 포함하고 있는 것으로 분석됐다. 이 악성코드는 최근인 1월 18일에 제작된 것으로 추정된다.

해당 악성코드는 ‘Statement of Account’라는 이메일 제목, ‘Sent from my iPhone’이라는 이메일 내용, 그리고 ‘image003.png.zip’ 이라는 파일이 첨부된 상태로 유포된다. 악성코드의 md5 값은 ‘58923c7f4a277b52f2b6659f8189f7ee’로 분석됐다. 

첨부된 파일의 압축을 풀면 Image003.png.jar라는 파일이 복구되는데, 확장자 숨기기 옵션을 선택한 사용자는 png 확장자로 보여 이미지로 오인하기 때문에 해당 파일을 직접 실행하게 만든다는 게 센터 측의 설명이다. 또한, 해당 jar 파일 진단을 우회하기 위해 문자열 난독화 기법이 사용되고 있는 것으로 드러났다. 

애드윈드에 감염된 컴퓨터는 ‘7777’ 포트를 통해 원격제어가 가능하며, 이후 포트 스캐닝을 통해 감염된 컴퓨터에서 열려있는 다른 포트를 이용해 명령제어(C&C) 서버와 추가 명령을 받기 위해 통신하게 된다. 


해당 악성코드는 기존 RAT와 마찬가지로 원격 데스크톱 제어, 데이터 수집, 데이터 유출 등의 악성 기능을 수행한다. 세부적으로는 키보드 입력값 수집, 화면 스크린 샷, 웹캠 제어, 마이크 사운드 녹음, 파일 전송, 일반 시스템 및 사용자 정보 수집 등 기능을 갖추고 있는 것으로 조사됐다. 

특히, 애드윈드 변종에는 탐지 방해 기능들도 탑재되어 있는데 샌드박스 탐지 기능, 다양한 백신 및 보안 솔루션 비활성화 기능, 리버스 엔지니어링 방해 기능 등이 존재한다. 



SCH사이버보안연구센터 김예준 연구생은 “애드윈드 악성코드는 이메일을 통해 유포되고 있기 때문에 이메일 수신자는 출처가 수상한 이메일의 첨부파일을 함부로 실행하지 않는 등 각별한 주의가 필요하다”고 강조했다. 

 

[앵그리마녀뉴스's]

[angry_witch_story/# 피크뱅크!] - 한국은행 , 해킹공격 대응 돕는 '사이버복원력 평가지침서' 발간

[angry_witch_story/# 피크뱅크!] - AI까지 동원하는 해커, 올해 사이버 위협 '자동화'로 더 은밀해진다.

[angry_witch_story/## Witch NEWS] - 지갑업체 블랙월렛, 암호화폐 DNS 공격으로 해킹 당했다.