Home > 전체기사
18일 감행된 연쇄 사이버공격! 키워드는 김수키와 건설사 발주메일
  |  입력 : 2020-03-18 16:47
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
김수키 그룹, 개성공단 전문가 칼럼 위장 문서로 공격
유명 건설사 사칭한 발주메일... 전문용어 사용해 피해자 노려


[보안뉴스 원병철 기자] 18일 한수원을 공격했던 해킹그룹으로 잘 알려진, 북한으로 추정되는 국가의 지원을 받는 ‘김수키(Kimsuky)’의 새로운 공격과 대형 건설사를 사칭해 발주서를 이용한 공격이 연이어 발견됐다. 특히 주로 ‘한글’ 문서를 이용해 악성파일을 만들던 김수키 그룹이 이번에는 MS의 WORD 문서를 이용한 것으로 확인됐으며, 두번째 발주서 악성메일은 플랜트 분야의 전문용어를 사용해 실제 업무용 문서로 착각하게끔 만들어 주의가 요구된다.

▲공격에 사용된 MS WORD 문서[자료=ESRC]


김수키의 MS WORD 문서 악용한 사용자 정보 탈취 공격
이번에 발견된 김수키의 공격은 과거와 달라진 형태를 띠고 있다. 그동안 주로 ‘한글’문서만 사용하던 김수키의 공격패턴과 달리 이번에는 ‘MS WORD’ 문서파일을 이용한 것으로 확인된 것. 이스트시큐리티의 시큐리티대응센터(이하 ESRC)에 따르면, 메일에 첨부된 악성 WORD 문서를 다운받아 실행하면 콘텐츠 사용 버튼 클릭을 요구하고, 버튼을 클릭하면 매크로 함수가 실행되어 악의적인 웹사이트로의 통신을 시도한다.

▲c2 서버와 명령을 주고받는 과정의 패킷 화면[자료=ESRC]


이어 mybobo.mygamesonline[.]org 명령제어(C&C) 서버로 통신을 해서 해커가 지정한 추가 명령을 받아 사용자 정보 탈취 등의 악성행위를 시도한다. 상단의 명령제어 서버와 명령을 주고 받는 과정의 패킷 화면을 보면, ‘WebKitFormBoundarywhpFxMBe19cSjFnG’ 문자열을 확인할 수 있는데, 이는 기존의 김수키 그룹이 사용하던 바운더리 데이터다.

▲○○건설을 사칭한 악성메일[자료=보안뉴스]


국내 유명 건설사 사칭한 발주 메일
18일 발견된 두 번째 악성메일은 실존하는 기업인 ‘○○건설’을 사칭해 발송됐다. 특히 ‘[울산 북항 LNG PKG] 견적 _ 1 단계 LNG 패키지, 프로젝트 자재 및 장비 요청’이란 제목의 해당 악성메일은 울산 북항 지역의 플랜트 공사를 거론하며 프로젝트 자재 및 장비 발주를 사칭했는데, 사용된 용어나 작성된 글을 보면 실제 해당 분야에서 사용하는 것임을 알 수 있다. 다만 <보안뉴스>가 확인한 결과, 해당 기업에는 이번 악성메일의 발송자와 같은 이름의 직원은 없으며, 발송된 메일 주소 역시 사용하지 않는 메일로 확인됐다. 또한, 울산 북항에서 실제 건설 프로젝트가 있긴 하지만 프로젝트 명은 틀린 것으로 확인됐다.

▲메일에 첨부된 악성파일은 바이러스토털에서 단 6개의 안티 바이러스만이 악성으로 분류했다[자료=보안뉴스]


메일에 첨부된 파일은 ‘(RFQ)1.8프로젝트 문서(Equipment, project item specification)_(243452BB)’란 이름의 디스크 이미지 파일(.img)이며, 압축프로그램을 사용해 풀면 ‘DAWOOENC LNG RFQ PACKAGEDOCUMENTS’란 이름의 실행파일(.exe)이 나온다. 문제는 해당 악성파일이 3월 18일 오후1시 현재 바이러스토털(Virustotal) 기준 단 6개의 안티 바이러스만이 악성파일로 진단했다는 사실이다.

한 보안전문가는 “최근 코로나19 사태로 재택근무를 하는 회사가 많은데, 특히 개인 PC를 사용해 업무를 볼 경우 업무용 PC보다 보안이 취약할 수 있기 때문에 조금이라도 의심이 가는 메일은 절대 첨부파일이나 링크를 열어보지 말고, 이번 발주메일처럼 중요한 문서일 경우 직접 확인해보는 것도 필요하다”고 조언했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)