트렌드마이크로는 김정일 사망소식을 이용한 스팸메일을 확인했습니다(그림1).

그림1. 김정일 사망소식을 이용한 스팸메일

CNN이라는 실재하는 보도기관 이름을 메일 본문에 사용해 김정일 사망소식을 알리기 위한 것처럼 pdf 파일(‘TROJ_PIDIEF.EGQ’로 진단)이 전송됩니다. 파일을 열면 그림2와 같이 김정일 사진을 포함한 pdf 파일이 나타나는데, 배후에서는 백도어형 악성코드 ‘BKDR_FYNLOS.A’가 생성됩니다. 공격자가 감염된 PC를 원격조종하고자 하는 의도가 엿보입니다.

그림2. ‘TROJ_PIDIEF.EGQ’에 의해 나타나는 pdf 파일

한편, 이 메일과는 별도로 ‘Kim_Jong_il___s_death_affects_N._Korea___s_nuclear_programs.doc(김정일의 사망이 북한 핵무기 프로그램에 영향을 주다)’라는 파일명을 가진 리치 텍스트 파일(확장자 RTF)을 통해 악성코드가 메일로 전송되는 사례도 확인되었습니다. 이 리치 텍스트 파일은 ‘TROJ_ARTIEF.AEB’로 진단되며, 이 악성코드는 Microsoft 제품의 취약성 ‘CVE-2010-3333’을 이용해 백도어형 악성파일(‘BKDR_PCCLIEN.BQD’)을 생성합니다. 이 사례에서도 감염된 PC를 원격조종하고자 한 것으로 추측됩니다.

세계적으로 충격을 주는 유명인의 죽음이나 대규모 재해 발생 시에는 그 뉴스를 이용한 사이버 범죄가 매번 되풀이되고 있습니다. 트렌드랩(TrendLab)에서는 제일 먼저 공격의 징후를 파악해 고객님께 대책을 제공하기 위한 노력을 계속하고 있으며, 트렌드마이크로의 클라우드 보안센터를 통해 악성코드 및 스팸메일 대책을 제공하고 있습니다.

이러한 사용자의 흥미와 관심을 이용한 소셜 엔지니어링 수법은 단기간에 급속도로 악용되는 경향이 있어, 특정 조직이나 개인을 표적으로 한 표적형 메일로도 악용될 가능성이 있습니다. 이용하고 있는 OS/애플리케이션 및 보안제품을 최신 상태로 사용하는 것은 물론, 의심스러운 메일이나 파일은 열지 않는다는 기본적인 수칙을 다시 한 번 확인해 주시기 바랍니다.

참고기사:
Kim Jong Il Malicious Spam Found
by Michael Casayuran (Anti-spam Research Engineer)

[ 업데이트 ] 2011/12/20 20:00

상세 분석 결과, 'TROJ_PIDIEF.EGQ'은 Adobe Reader와 Adobe Acrobat의 취약성 'CVE-2010-2883' 및 Adobe Flash Player의 취약성 'CVE 2011-0611'을 이용하고 있는 것으로 밝혀졌습니다. 최종적으로 생성되는 파일은 백도어형 악성코드로, C&C 서버에 접속해 파일의 다운로드/업로드, 실행 및 프로세스 정지 등의 커맨드를 송수신합니다. 트렌드마이크로 제품에서는 'BKDR_FYNLOS.A'로 진단합니다.

위 취약성 정보에 대해서는 아래의 페이지를 참조해 주십시오.

APSA10-02: Adobe Reader 및 Acrobat에 대한 보안 권고 조치
APSB11-08: Adobe Reader 및 Acrobat용 보안 업데이트 공개