Home > 전체기사

北 탈륨, 사설 주식 투자 메신저 악용해 소프트웨어 공급망 공격

  |  입력 : 2021-01-04 16:54
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
주식 투자 전용 메신저 변조해 공급망 공격 수행
주식 투자자 노린 금전적 공격 의심


[보안뉴스 원병철 기자] 마이크로소프트가 북한의 해킹그룹으로 지목한 탈륨이 최근 사설 주식 투자 메신저 프로그램을 변조해 공급망 공격을 수행한 것이 발견됐다. 보안전문기업 이스트시큐리티의 시큐리티대응센터(ESRC)는 이와 같은 사실을 알리고 사용자들의 주의를 요구했다.

▲공격에 사용된 주식 투자 전용 메신저 배포 화면[자료=이스트시큐리티]


메신저 프로그램은 NSIS(Nullsoft Scriptable Install System) 설치 프로그램 형태로 제작됐다. NSIS는 스크립트 기반으로 동작하는 윈도용 설치(Installer) 시스템으로, 윈앰프를 만든 것으로 알려져 있는 널소프트가 제공하는 설치 프로그램 제작 도구다. 이번에 발견된 유형은 2가지로 ‘wmic.exe’ 명령을 통해 특정 FTP 서버로 접속해 추가 명령어 파일을 다운로드한다. 여기서 사용하는 것은 ‘XSL Script Processing’ 기법이다.

▲악성 명령이 추가된 NSIS 스크립트 사례 A[자료=이스트시큐리티]


▲악성 명령이 추가된 NSIS 스크립트 사례 B[자료=이스트시큐리티]


추가로 받아지는 파일은 VBS 명령어 기반으로 실행되며, %ProgramData% 하위 폴더에 ‘OracleCache’, ‘PackageUninstall’, ‘USODrive’ 등을 생성한다. 그리고 ‘frog.smtper[.]co’ 서버로 접속해 추가 명령을 수행한다.

▲VBS 명령 모습[자료=이스트시큐리티]


그리고 작업 스케줄러에 ‘Office365__’ 라이브러리를 등록하고, 하위 [Windows\Office] 경로에 ‘activate’ 이름으로 15분 간격으로 반복 실행하는 트리거를 설정한다. 여기서 사용되는 동작 프로그램은 ‘OracleCache’ 폴더에 생성된 ‘usopub.vbs’이며, 이것 역시 wmic 명령을 통해 주기적으로 FTP 주소로 접속을 시도한다. 위협 행위자는 수집된 1차 정보를 기반으로 감염자를 선별해 추가 원격제어(RAT) 도구를 내려 보낸다.

▲악성 스크립트가 설정된 작업 스케줄러 화면[자료=이스트시큐리티]


아울러 공격자가 사용한 서버에는 Leaf Smtper 이메일 전송 프로그램이 등록되어 있다.

▲이메일 전송 프로그램 화면[자료=이스트시큐리티]


ESRC는 동일한 기법을 사용하는 악성 문서 파일도 발견했다. 이 파일은 마치 보호된 문서처럼 화면을 조작했고, ‘콘텐츠 사용’ 버튼 클릭을 유도한다. 만약 이용자가 ‘콘텐츠 사용’ 버튼을 클릭하게 되면, 내부에 포함된 동일한 wmic os get 명령을 통해 위협 행위자가 지정한 FTP 서버로 통신한다.

▲악성 문서 실행시 보여지는 화면[자료=이스트시큐리티]


ESRC는 탈륨 조직이 ‘XSL Script Processing’ 기법을 악성 문서 기반의 스피어 피싱 공격뿐만 아니라 공급망 공격까지 틈새 공격에 활용하고 있다는 점에 주목했다. 더불어 주식투자 이용자를 겨냥한 공급망 공격 목적이 금전적인 수익까지 노린 것은 아닌지 여부도 면밀히 살펴보고 있다고 밝혔다. 아울러 최근 유사한 기법의 공격들이 증가하고 있으므로, 조금이라도 신뢰하기 어렵거나 수상한 이메일은 함부로 열람하지 않는 것이 중요하다고 당부했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협