국내 방산업체 APT 공격 포착

 최근 취약한 PDF 파일이 국내 방산업체 직원을 사칭하여 내부 직원 대상으로 이메일 통해 유포된 것이 보고되었다. PDF 파일의 내용을 보면 알 수 있듯이 사회공학적 기법을 이용하여, 방산진흥본부에서 방산업체로 업무협조 문서를 발송한 것처럼 위장하고 있다.

 

[그림 1] PDF 파일 내용

 

해당 PDF 파일은 지난 2012년 8월에 ASEC 블로그의 "이메일을 이용한 어도비 CVE-2009-0927 취약점 악성코드 유포"와 유사한 형태로 공격자는 방산업체로 수신되는 문서를 이용하여 꾸준히 APT 공격을 하는 것으로 보인다.

이러한 공격으로 인해 내부 기밀 정보가 외부 공격자에게 유출되는 피해가 발생할 수 있기 때문에 국가 기관 및 방산업체에서는 심각하게 받아들여지고 있다. 따라서, 이와 같은 보안 위협에 대한 대응이 필요하다.

 

방산업체 직원으로 사칭해서 유포된 이메일의 첨부파일은 다음과 같다.

[그림 2] 이메일 첨부파일

 

"업무연락 근무시간 관련 업계 현황 조사 협조요청_20130130.pdf" 파일을 실행하면 아래와 같이 파일과 레지스트리 키를 생성하여 webios.dll 파일이 6to4 Manager 이름으로 서비스에 등록되어 시스템 시작 시 마다 자동 실행되도록 한다.

 

[파일 생성]

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\AdobeARM.dll

C:\WINDOWS\system32\webios.dll

C:\WINDOWS\system32\wdiguest.dll

 

[레지스트리 등록]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\Parameters\ServiceDll

"C:\WINDOWS\system32\webios.dll"

 

[그림 3] 6to Manager 서비스 등록 상태

 

webios.dll 파일과 wdiguest.dll 파일은 동일한 파일이며, webios.dll 파일은 svchost.exe 프로세스에 로드 되어 동작하며, 미국에 위치하는 C&C 서버로 주기적으로 접속을 시도하는 것으로 확인된다.

 

hxxp://yy**.**.nu (173.2**.***.202, US)

 

[그림 4] 173.2**.***.202 접속 시도 패킷

 

C&C 서버와 정상적인 통신에 성공하게 된다면 공격자의 명령에 따라 키보드 입력을 가로채는 키로깅과 원격 제어 등의 기능을 수행하게 된다.

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

PDF/Exploit

Trojan/Win32.Dllbot

Win-Trojan/Dllbot.8704.E