1. 개요
- 국가사이버안보센터는 최근 국가배후 해킹조직의 공격 정황을 확인했다고 발표
- 해당 조직은 KISA 보안 업데이트 등 정상 프로그램으로 위장하여 악성코드를 유포
> KISA 보안 업데이트 외 MS 업데이트, 소프트웨어 설치 파일 등으로 위장하여 유포될 가능성이 존재
2. 주요 내용 [2]
- 확인된 악성 파일은 ‘KISA-Security-Upgrade.exe’라는 이름으로 유포
> 이노 셋업(Inno Setup) 소프트웨어를 사용하여 제작
> 이노 셋업이란 JrSfoftware社에서 제작한 스크립트 기반의 윈도우용 설치 프로그램을 제작할 수 있는 도구
- 해당 파일 내부에 스크립트 파일 ‘install_script.iss’이 존재
> 스크립트 파일에 기록된 명령에 따라 시스템 파일 생성 및 프로그램 설치
- 해당 파일을 실행하면 사용자 PC의 시작 프로그램에 자동으로 등록되어 PC를 시작할 때마다 자동 실행
> 감염 시스템 정보를 수집하여 C2 서버로 전송하며, 공격자의 명령에 따라 여러 명령을 수행할 수 있음
3. 대응방안
- 공식 홈페이지를 통해 설치 파일 다운로드 등 기본 보안 수칙 준수
> 다양한 파일로 위장하여 악성코드를 유포하기 때문
> 자동으로 다운로드되는 파일이나 파일 공유 사이트 등 출처가 불분명한 파일 다운로드 및 실행 지양
- 관련 프로그램 제거 (KISA-Security-Upgrade.exe 등)
> [제어판] - [프로그램] - [프로그램 및 기능]에서 파일 삭제
- 침해지표 등록 [2]
4. 참고
[1] https://jrsoftware.org/ishelp/
[2] https://asec.ahnlab.com/ko/54041/
[3] https://www.boannews.com/media/view.asp?idx=119058&page=1&kind=1
'악성코드 > 분석' 카테고리의 다른 글
| Androxgh0st 악성코드 분석 보고서 (0) | 2024.01.19 |
|---|---|
| 대한민국 사용자를 대상으로 한 SugarGh0st RAT (1) | 2023.12.04 |
| 러시아 배후 Snake 악성코드 (0) | 2023.05.13 |
| 악의적인 MS Word RTF File 악성코드 유포 (CVE-2017-0199) #3 (0) | 2023.05.05 |
| 악의적인 MS Word RTF File 악성코드 유포 (CVE-2017-0199) #2 (0) | 2023.04.26 |