안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

지난 달에도 비슷한 유형을 주의차원에서 안내해 드렸던 적이 있었습니다만,  12월 03일부터 동일한 공격자로 추정되는 인물이 불특정 다수를 대상으로 새로운 악성파일을 토렌트로 유포시키고 있어 각별한 주의가 필요합니다.

공격자는 마치 한국의 최신 문서작성 소프트웨어의 무설치 인증판으로 위장해 Orcus RAT 원격제어 기능의 악성파일을 설치하고 있습니다.

지난 번에는 실제로 판매하지 않는 '한글 2017'이라는 제품명을 썼지만, 이번엔 실제 판매 중인 최신 제품 '한글 2018' 이름을 도용하면서, 현재 토렌트 인기자료 1~2 순위에 오를 정도로 많은 이용자들이 다운로드하고 있어 매우 각별한 주의가 필요한 상태입니다. 

해당 악성파일은 정상적인 프로그램처럼 위장하기 위해 나름 1.3G 정도의 대용량 파일크기로 만들어져 있습니다.

[그림 1] 토렌트에 유포 중인 악성 파일 화면

이용자가 'HWP2018 무설치 인증판.torrent' 파일을 이용해 프로그램을 다운로드하면 실제로 약 1.33G 크기의 폴더가 생성되어 집니다.

폴더 내부에는 다양한 파일과 하위 폴더가 포함되어 있는데, 가장 상위 경로에 'HWP2018.exe' 실행 파일을 보여주어 이용자가 바로 실행하도록 현혹하게 됩니다.

'HWP2018.exe' 파일이 공격자가 원격에서 감염된 컴퓨터를 제어할 수 있는 해킹 프로그램입니다.

[그림 2] 불법 문서 작성 소프트웨어로 위장한 악성 파일 화면

만일, 이용자가 정상파일로 오인해 'HWP2018.exe' 파일을 실행할 경우 악성파일은 C 드라이브 경로에 'office' 폴더를 생성하고 숨김 속성으로 'office.exe' 악성파일을 복사하고 실행합니다.

[그림 3] 추가로 생성된 악성파일 화면 

감염이 정상적으로 진행되면 'Orcus RAT' 기반의 원격제어 기능의 악성파일은 한국의 특정 서버로 통신을 시도합니다. 11월 달에 발견된 경우도 명령제어 서버(C2) '211.110.35.168' 주소가 한국 이었던 특징이 있습니다.

[그림 4] 악성파일이 실행되어 명령제어 서버와 통신하는 화면

공격자는 원격제어를 통해 감염된 컴퓨터의 일거수일투족을 실시간으로 볼 수 있으며, 특정 파일을 유출하거나 삭제할 수 있는 권한을 가질 수 있게 됩니다.

이처럼 토렌트 등에서 유포되는 불법 소프트웨어는 항상 최신 보안 위협에 노출되고 있다는 점을 명심하고, 반드시 정품 소프트웨어를 사용하는 노력이 필요하겠습니다.

알약에서는 Trojan.Injector.1495040 탐지명 등으로 추가된 상태이며, 또 다른 변종 출현에 대비에 보안 모니터링을 강화하고 있습니다.