국세 고지서로 위장한 악성코드…북한 해킹그룹과 연계 의심 작성일 12-02 6 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">pdf.zip 내 바로가기 실행 시 hta 자동 다운로드…실행하면 악성파일다운<br>이스트시큐리티 "국내 특화 정보 탈취…국내 표적으로 제작된 악성코드"</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="Xqg26mcnC1"> <figure class="figure_frm origin_fig" contents-hash="2064439fa47778e19087b509add23df5544ff1659743b93e47fac2f9ade0a023" dmcf-pid="ZBaVPskLl5" dmcf-ptype="figure"> <p class="link_figure"><img alt="기사의 이해를 돕기 위한 이미지로 기사와 직접적 연관은 없습니다. 클립아트코리아" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/02/kyeonggi/20251202161551895bmbh.jpg" data-org-width="600" dmcf-mid="GLhVPskLSF" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/02/kyeonggi/20251202161551895bmbh.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 기사의 이해를 돕기 위한 이미지로 기사와 직접적 연관은 없습니다. 클립아트코리아 </figcaption> </figure> <p contents-hash="a0c1c66f6df67b3c26a4fdc0b058c80a396dab1f1a370d2da10ed5d007693fe3" dmcf-pid="5bNfQOEoWZ" dmcf-ptype="general"><br> 북한 정찰총국 산하 해킹그룹 김수키(Kimsuky)와 연관됐다고 알려진 악성코드가 국세 고지서 파일로 위장해 유포되고 있어 이용자 주의가 요구되고 있다. </p> <p contents-hash="fe649fc249a9b1a0e99ba1533a8e5ae051b0cb5c8921705434e003ad388939dd" dmcf-pid="1Kj4xIDgTX" dmcf-ptype="general">2일 정보통신기술(ICT) 업계에 따르면 이스트시큐리티 시큐리티대응센터는 김수키 그룹과 연관된 원격 액세스 트로이 목마 KimJongRAT이 hta 파일로 퍼지고 있다는 리포트를 공개했다. </p> <p contents-hash="e668ef842b847f7fc44220c9a0e59640a13ad31e6ff0dc6fce4a98a8887db113" dmcf-pid="t9A8MCwavH" dmcf-ptype="general">hta 파일은 윈도우 프로세스를 활용, 인터넷에서 원격으로 hta를 직접 실행할 수 있어 공격자가 자주 사용하는 방식이다. </p> <p contents-hash="0dc9568830bbf9b1a215e9327afb0a18804dd322af8813ccf6915b6792318963" dmcf-pid="F2c6RhrNSG" dmcf-ptype="general">해당 파일은 국세 고지서 pdf.zip 파일명으로 유포됐고, 피싱 메일로 최초 확산된 것으로 추정된다. </p> <p contents-hash="60bbff8055a411397fe610f69761a9285aaffc57a72ba2822cb461ee2b9d0542" dmcf-pid="3VkPelmjyY" dmcf-ptype="general">국제 고지서 pdf.zip에는 국세고지서.pdf 파일로 위장한 바로가기(LNK) 파일이 함께 있다. </p> <p contents-hash="7f9358dd85a900d38227712b232611c497f37e08bad87c4889d20a2e8e79d56c" dmcf-pid="0fEQdSsASW" dmcf-ptype="general">이용자가 바로가기 파일을 실행하면 내부에 인코딩된 값이 URL 값으로 되돌려 해당 URL에 접속하게 된다. </p> <figure class="figure_frm origin_fig" contents-hash="057c65e1bcb556a02de1b6f8720c62fc041f4449f010fda00a3bcfc921123890" dmcf-pid="py2XFe6bCy" dmcf-ptype="figure"> <p class="link_figure"><img alt="국세 고지서로 위장된 악성코드. 이스트시큐리티 리포트 캡처" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/02/kyeonggi/20251202161553171jrrm.jpg" data-org-width="600" dmcf-mid="HkqyXP2uvt" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/02/kyeonggi/20251202161553171jrrm.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 국세 고지서로 위장된 악성코드. 이스트시큐리티 리포트 캡처 </figcaption> </figure> <p contents-hash="55900d45cfe0dd2a104a2c3e5a7ec969d27a0ea7edebfbffac60fa068b5b653d" dmcf-pid="UWVZ3dPKTT" dmcf-ptype="general"><br> 이후 해당 URL에 접속하면 hta 파일을 내려받게 된다. 그러나 이를 실행하면 디코이 파일(랜섬웨어 예방을 위한 미끼 파일)과 악성파일이 다운로드 된다. </p> <p contents-hash="2e930e411e37bd497f7ee7e93e6daed0caf6ce6bbfa24ed11d1fd6bfa36f7d0e" dmcf-pid="uYf50JQ9yv" dmcf-ptype="general">이번 공격의 특징은 윈도우 보안 프로그램에 따라 각기 다른 데이터를 전송하는 점이라고 센터는 밝혔다. </p> <p contents-hash="a8d3407906553c9a6aca39f413972f1c6714b5e41e6e4f8db6a90978492d9e32" dmcf-pid="7G41pix2WS" dmcf-ptype="general">사용자의 보안 프로그램이 비활성화일 경우와 활성화 상태일 때 각기 다른 파일을 내려받고, 주기적으로 사용자 정보를 수집해 전송한다. </p> <p contents-hash="c44a46ce13d1cab51852516246d51037feb5a20714c728e25370f58e4632472d" dmcf-pid="zH8tUnMVTl" dmcf-ptype="general">센터는 국내에 특화한 정보를 탈취하는 것으로 봤을 때, 이번 KimJongRAT가 국내 표적으로 정밀하게 제작된 악성코드라고 보고 있다. </p> <p contents-hash="359a4114815b7aa5f68d01a0b8a0771437f99b44de47e9115cf360774361e025" dmcf-pid="qX6FuLRfTh" dmcf-ptype="general">센터는 "마이크로소프트(MS)가 보안을 강화하고 있지만, 레거시 시스템이나 보안이 약하게 설정된 환경에서는 KimJongRAT이 여전히 매우 효과적인 공격수단인 만큼 윈도우와 소프트웨어(SW)를 최신 버전으로 유지해야 한다"라고 설명했다. </p> <p contents-hash="85862a3c5133ccef2b770985b07e5f265dd8343c9e28a3053c6c6c94774951b9" dmcf-pid="BZP37oe4CC" dmcf-ptype="general">그러면서 "파일 탐색기 내 파일 확장자명 보기 기능을 활성화하고 파일을 실행하기 전 반드시 확장자를 확인해야 한다"라고 강조했다. </p> <p contents-hash="64a6cc085e4107c6158a894e4114af5f1993ede9d00491809197393d0b157d7a" dmcf-pid="b5Q0zgd8hI" dmcf-ptype="general">서다희 인턴기자 happiness@kyeonggi.com </p> </section> </div> <p class="" data-translation="true">Copyright © 경기일보. 무단전재 및 재배포 금지.</p> 관련자료 이전 AI 번역 딥엘 "韓, 디지털 기술 도입 속도 세계 최고 수준⋯특화 전략 강화" 12-02 다음 윤정수, 결혼식 비하인드 밝힌다‥럭키 박하나 남보라와 ‘아형’ 출격[공식입장] 12-02 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
