Internet Explorer 제로데이 취약점을 이용한 천안함 침몰 관련 이메일 유포 주의

최근 백령도 근처에서 침몰한 천안함 사고를 이용한 악성 이메일 유포 행위가 해외 정보를 통해 확인이 되었습니다.

● 이메일 제목 : Dozens missing after ship sinks near North Korea
● 이메일 발송자 : kevin.bohn33@hotmail.com

[악성코드 유포 경로]

h**p://www.*****.go.kr/press/breifing
 - h**p://*********.com/test/test.html (Microsoft : Exploit:JS/CVE-2010-0806)
  -> h**p://*********.com/temp/winint32.exe (AhnLab : Win-Trojan/Tapaoux.357344)
 - h**p://*********.com/test/bypasskav.txt

해당 이메일에 포함된 악성 링크는 국내 정부 기관(go.kr) 도메인으로 위장을 하고 있으며, 실제 해당 링크를 연결할 경우 마이크로소프트(Microsoft) Internet Explorer 제로데이(0-Day) 취약점을 이용한 악의적인 페이지로 이동을 하도록 구성되어 있습니다.

• Microsoft 제로데이 취약점 : Microsoft Security Advisory (981374) - Vulnerability in Internet Explorer Could Allow Remote Code Execution (2010.3.10)

해당 취약점은 최근 공개된 Internet Explorer 6 / 7 버전에서 영향을 받고 있으며, 보안 패치가 공개되지 않았으므로 해당 웹 브라우저 사용자가 접속시 시스템 감염이 예상됩니다.

해당 악성 페이지 소스를 확인해보면 전형적인 국내 정부 기관을 표적으로 하고 있는 것으로 추정되는 부분이 bypasskav.txt 항목에서 발견되는데, 국내 정부 기관에서 Kaspersky 보안 제품을 사용하는 경향이 강해서인 것으로 추정됩니다.(예전에 국내 보안 제품에 대한 불신(?)으로 Kaspersky 제품을 함께 운영하고 있다고 들은 것 같습니다. 아니면 말고... )

test.html

해당 스크립트에 대해서는 해외 일부 보안 제품에서만 진단을 하고 있는 것을 확인할 수 있습니다.

취약점이 노출된 웹 브라우저 사용자가 해당 악성 스크립트를 포함한 사이트에 접속할 경우 사용자 몰래 winint32.exe (MD5 : 043d308bfda76e35122567cf933e1b2a) 파일을 다운로드하여 추가적인 악성코드 파일을 다운로드하는 과정을 통해 시스템 감염으로 연결되고 있습니다.

유포 호스팅은 말레이시아로 되어 있지만, 이메일 발송자 IP 대역은 중국(China)으로 되어 있으므로 누가 이런 행위를 하는지는 대충 짐작할 수 있을 것으로 보입니다.