비트코인 가격이 사상 최고가 행진을 이어가면서 암호화폐 거래자를 노린 표적형 사이버 공격이 늘었다. 해커는 특정 가상자산 거래소 안내문서로 조작된 파일을 공격에 악용하고 있다.
지니언스 시큐리티 센터는 최근 암호화폐 관련 투자 정보를 공유하는 커뮤니티를 표적으로 악성파일이 배포되고 있어 주의를 당부했다. 암호화폐 거래자 단말기를 장악한 후 지갑 주소와 비밀번호 등을 빼돌리려는 시도다.
공격자는 3월 7일 이후 '첨부.zip'이란 파일로 가장한 악성파일을 암호화폐 거래자 커뮤니티 등에 배포하고 있다.
이 파일은 마치 암호화폐 거래소 관계자가 올린 것처럼 보인다. 압축 파일 내부에는 '첨부1_성명_개인정보수집이용동의서.docx.lnk', '첨부2_*** 메일 내용(참고).pdf' 등이 들어있다.
'첨부1_성명_개인정보수집이용동의서.docx.lnk' 파일은 워드 문서처럼 보이지만 실제로는 바로가기 링크가 포함된 악성파일이다. 공격자는 이 파일로 피해자 단말기를 장악하고 명령제어 서버에서 추가 악성코드를 다운로드 받는다.
또 다른 하나는 의심을 덜받기 위한 미끼(Decoy)용 정상 PDF 문서다. 사이버 공격자는 특정 가상자산 거래소 안내문서처럼 보이는 파일을 함께 사용한다.
지니언스는 "사이버 공격자가 이중 확장자를 이용해 악성파일을 마이크로소프트 워드 문서로 보이게 만들어 공격하고 있다"면서 "아이콘과 확장자까지 꼼꼼히 살펴야 피해를 막을 수 있다"고 설명했다.
이어 "이런 공격은 이메일 첨부파일이나 소셜네트워크 메신저 등으로 전달되는데 압축파일 내부에 링크 파일을 포함한다"면서 "압축 해제 후 아이콘에 화살표가 나타나면 해킹 시도로 봐야 한다"고 덧붙였다.
이 공격은 국가 지원 해킹 그룹인 코니 APT로 분석된다. 지니언스는 이번 암호화폐 악성코드 공격이 지난해 '국세청 우편물 발송 알림 사칭'이나 '통일 및 북한 인권 분야 표적 공격'과 유사도가 높다고 밝혔다.
코니 그룹은 비트코인 거래 관계자나 대북 종사자 등을 중심으로 위협 활동을 전개 중이다. 이들은 주로 LNK, VBS, BAT 유형의 악성코드를 개발해 공격 이용한다. 위협 행위자는 시그니처 기반 탐지를 회피하기 위해 명령&제어(C2) 서버와 명령 코드를 계속 바꾸고 있다.
