# (주)하우리

**hauri.co.kr/security/notice_view.html**

[주의] 국가 자문 기관을 사칭한 악성코드 감염 주의 요망

- 논문심사 의뢰 요청으로 APT 공격 시도 
 
보안전문기업 ㈜하우리(대표 김희천, www.hauri.co.kr)는 국가 자문 기관을 사칭하여
주요 기관의 특정인을 대상으로 악성메일이 발송된 정황이 포착되어 주의가 필요하다
고 10일 밝혔다.

 
해당 악성메일은 공신력 있는 국가 자문 기관을 사칭하여 국가 주요 연구기관의 특정
연구원에게 논문심사 의뢰를 요청하는 것으로 속여 메일 수신자가 악성코드에 감염되
도록 제작되었다.

 
악성메일은 "[OOOO] 논문심사 의뢰드립니다." 라는 제목으로 발송되었으며, 메일 내용
또한 논문심사 의뢰 내용으로 전혀 어색한 부분없이 자연스럽게 기재되어 있어 수신자
가 의심없이 악성메일을 열람하고 악성코드를 실행할 수 있다. 또한 첨부된 악성파일을
열어 악성코드에 감염되더라도 PC에 특별한 증상이 노출되지 않기 때문에 감염 사실을
PC 사용자가 인지하기에는 쉽지 않다.


-----

악성메일에 첨부된 "논문.zip" 압축파일 내에는 [그림 1]과 같은 파일이 압축되어 있다.
압축파일에 포함된 윈도우 도움말 파일인 "2023-3-2.chm" 파일을 열람하게되면 "X
Click" 함수를 통해 스크립트가 자동 실행되고, 악성 URL로부터 악성코드인 temp.vbs
파일이 다운로드 되어 동작하도록 제작되어 있다.

[그림 1] 악성메일에 첨부된 압축파일(논문.zip) 내의 악성코드(2023-3-2.chm)

[그림 2] 악성 URL 주소와 VBS 악성코드 생성경로 (현재 악성URL 차단상태)

"2023-3-2.chm" 파일 실행 시 백그라운드로 악성스크립트가 실행됨과 동시에 "정책결
정자의 리더쉽이 한미동맹과 미일동맹에 미치는 영향" 이라는 정상 논문이 출력되면서
메일 수신자는 악성코드 감염 사실을 더욱더 인지하기 어려워진다.

APT 공격 방법이 다양화되고 고도화되면서 윈도우 도움말(*.chm) 파일을 이용한 악성
코드도 빈번히 발견되고 있으며, 추후에도 지속적인 chm 파일을 이용한 공격이 지속적
으로 발생할 것으로 예상됨으로 주의가 필요하다.

㈜하우리 보안대응센터 김정수 센터장은 "국가 주요 기관이나 일상과 업무에서 일반적
으로 발생할 수 있는 자연스럽고 일반적인 메일 이용하여 APT 공격이 빈번히 이루어지
고 있다. 전자메일을 이용한 악성코드 감염이 조직 침투의 주요 공격 루트이므로 사용
자 및 관리자의 정기적인 시스템 보안점검과 관리로서 위협요소를 제거하는 것이 중요
하다."라고 말했다.



**[참고자료 #1]**

- 국가 자문 기관을 사칭한 악성 메일


-----

**[참고자료 #2]**


-----

- 첨부된 2023-3-2.chm 파일 클릭 시 정책결정자의 리더쉽이 한미동맹과 미일동맹에 미치는
영향" 논문이 노출되면서 악성스크립트 다운로드 실행

**[참고자료 #3]**

- [OOOO]논문심사 의뢰서.hwp - 정상 한글 파일


-----

-----