Home > 전체기사

北 추정 탈륨 해킹그룹, 외교안보 전문가 대상 표적 공격 수행

  |  입력 : 2021-03-10 17:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
국내 유명 언론사, 민간 정책연구소, 전문 학회 등을 사칭해 안보·통일·외교 정책 분야 전문가 노려

[보안뉴스 원병철 기자] 북한의 해킹그룹으로 잘 알려진 탈륨(Thallium)이 최근 국내 유명 언론사, 민간 정책연구소, 전문 학회 등을 사칭해 안보·통일·외교 정책 분야 전문가를 대상으로 전방위적 해킹을 시도한 동향이 발견돼 각별한 주의가 요구된다.

▲악성 문서 실행 후 보이는 화면[자료=ESRC]


이번 사건에 연루된 ‘탈륨’은 미국 마이크로소프트(MS)로부터 정식 고소를 당해 국제 사회에 주목을 받은 해킹 조직이다. 한국에서는 외교·안보·통일·국방 분야의 전·현직 관계자를 주요 해킹 대상으로 삼아 사이버 첩보전 활동을 활발히 전개하고 있는데, 얼마 전 통일부를 사칭한 피싱 공격도 이들 소행으로 확인된 바 있다.

이스트시큐리티 시큐리티대응센터(ESRC, 센터장 문종현)는 탈륨 그룹은 주로 국내 외교 안보분야 전문가로 활동하는 인물들을 노리며, 대북정책 포럼이나 유명 안보 단체처럼 사칭해 선별한 특정인을 대상으로 논문이나 기고문 원고 요청, 학술회의 세미나 참석 신청서, 사례비 지급 의뢰서나 개인정보 이용 동의서 문서로 위장한 신규 악성 파일을 첨부해 전달하는 방식으로 공격을 수행한다고 설명했다.

보통 활동 분야나 주제에 따라 현혹하기 위한 미끼용 본문이 달라지기 마련인데, 최근 실제 사례들을 종합해 본 결과 공통적으로 이메일 회신을 요청하며, 자연스럽게 첨부된 악성 문서를 열람하도록 유도하는 특징이 발견됐다. 특히, 해킹 이메일에 속은 수신자가 회신할 경우 공격자는 나름 적극적으로 답변하는 등 신뢰 기반을 동원한 전술이 갈수록 과감하고 노골적인 양상으로 진화하는 모습을 보이고 있다.

기존에 널리 쓰이던 HWP 문서의 취약점 대신 최근에는 DOC 워드 문서를 이용한 공격이 늘고 있다. 악성 매크로나 원격 템플릿 실행을 유도하기 위해 DOC가 처음 열릴 때 허위로 조작된 영문 화면을 먼저 보여주고, ‘콘텐츠 사용’ 버튼 클릭을 유도하는 수법이다. 분석 결과, 영문 유도 화면은 이미 해외에서 보고된 바 있는 ‘TA551’ 문서 템플릿과 유사한 사례도 있는데, 탈륨 조직이 이를 모방한 것으로 추정된다, 공격에 사용된 명령제어(C2) 서버는 ‘yezu212.myartsonline[.]com’, ‘quarez.atwebpages[.]com’ 등이 사용됐다고 ESRC는 설명했다.

▲악성 DOC 문서가 실행 시 보이는 가짜 메시지 화면[자료=ESRC]


전문가들은 “최근 악성 DOC 파일을 이용한 스피어 피싱 공격이 기승을 부리고 있고, 피해 대상자의 해당 분야에 따라 맞춤형 공격 시나리오를 적절히 구사하고 있다”며, “특정 정부와 연계된 것으로 알려진 탈륨의 사이버 공격 수위는 갈수록 증대되고 있어 유사한 위협에 노출되지 않도록 민관의 각별한 주의와 관심이 요구된다”고 당부했다. 또한 “최근 공격자들이 사용한 명령제어(C2) 서버들은 해외 호스팅을 사용하는 경우가 많지만, 간혹 국내 웹 서버를 사용하는 경우도 있어 서버 관리자의 정기적인 보안 점검과 강화가 필요하다”고 덧붙였다.

한편, 알약에서는 해당 악성코드를 ‘Trojan.Downloader.DOC.Gen’ 탐지명으로 진단하고 있으며, 추가 침해 지표(IoC)는 Threat Inside 웹서비스 구독을 통해 확인이 가능하다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)