코로나19 슈퍼전파 발원지로 꼽히는 신천지교회가 악성코드 유포에 활용된다. 공격자는 신천지에 쏠린 세간 이목을 악용, 악성코드 감염 확산을 노린다.
5일 안랩 시큐리티대응센터(ASEC)에 따르면 최근 '신천지예수교회 비상연락처', '신천지예수교 증거장막성전 총회본부 홍보부 언론홍보과 보좌 조직' 등 제목으로 악성코드가 유포 중이다. 엑셀(.xlsx) 파일과 파워포인트(.ppt) 파일처럼 보이지만, 실제로는 악성 화면보호기(.scr) 파일이다.
악성 파일을 실행하면 정상 엑셀 파일이 함께 실행돼 이용자가 악성코드 침투를 인지하기 어렵다. 악성코드에 의해 생성된 파일은 △정상 엑셀 파일 실행 △화면보호기(.scr) 파일 삭제 △백도어 악성코드 실행 등 기능을 한다.
백도어는 레지스트리 키에 등록돼 재부팅 후에도 동작한다. 공격자는 백도어를 통해 프로세스 목록, 컴퓨터 이름, 운용체계(OS) 버전 정보를 명령 제어(C2) 서버로 전송한다. 파일 실행과 종료, 추가 파일 다운로드 같은 기능도 수행할 수 있다.
ASEC 분석 결과 이 백도어는 '비소날(Bisonal)' 악성코드로 확인됐다. 비소날은 악성코드 내 포함된 문자열에서 딴 명칭이다. 비소날 공격자는 2011년부터 한국 기관과 기업을 지속 공격해 왔다.
오다인기자 ohdain@etnews.com