Home > 전체기사
美 비건 국무부 부장관 서신? 北 추정 김수키의 사이버공격 ‘미끼’
  |  입력 : 2020-03-04 02:28
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
김수키 조직, 비건 미국 국무부 부장관 서신 내용으로 위장한 APT 공격 수행
최근 매우 활발하게 대남 사이버위협 활동 감행...doc 워드 기반 공격 자주 펼쳐


[보안뉴스 권 준 기자] 북한 추정 해킹그룹인 ‘김수키((Kimsuky)’ 조직의 사이버공격이 연일 계속되고 있다. 지난 2월 26일과 27일에 이어 3월 3일에도 ‘비건 미국 국무부 부장관 서신 20200302.doc’ 파일이 첨부된 악성 메일 공격이 발견됐다.

보안전문기업 이스트시큐리티의 ESRC(시큐리티대응센터)에 따르면 이번 공격은 지난 2월 26일 ‘코로나 바이러스 관련 이사장님 지시사항’이라는 이메일 제목으로 감행된 스피어 피싱(Spear Phishing) 공격과 동일한 공격 캠페인으로 분석됐다.

▲지난 2월말 유포된 코로나 관련 악성 메일과의 doc 문서 비교화면[이미지=ESRC]


이는 ‘스모크 스크린(Smoke Screen)’으로 명명된 APT(지능형지속위협) 공격 캠페인으로, 한글 파일이 아닌 MS 워드(doc) 파일을 클릭을 유도하기 위한 ‘미끼’ 악성 파일로 첨부했으며, 해당 공격 주체 역시 이전과 마찬가지로 ‘김수키’ 조직으로 추정된다는 분석이다.

최근 들어 ‘김수키’ 조직이 한글(hwp) 취약점 문서보다 MS 워드(doc) 문서파일의 매크로 기능을 적극 활용하는 특징을 보이고 있다는 점도 주목할 만하다. 더욱이 이번 공격에 사용된 doc 악성 문서파일은 기존 ‘코로나바이러스 대응.doc’ 파일과 동일하게 매크로 허용 유도 디자인을 그대로 재활용한 것으로 나타났다. 또한, 각각의 악성 문서 파일은 마지막 수정 계정명이 ‘admin’ 이름으로 동일하고, 공격에 사용된 매크로 코드 역시 유사성을 띄고 있는 것으로 드러났다.

‘비건 미국 국무부 부장관 서신 20200302.doc’ 파일이 첨부된 악성 메일의 경우 이용자가 보안 경고창으로 나타난 [콘텐츠 사용] 버튼을 클릭하게 되면, VBA 매크로 코드가 실행되어 악의적인 웹사이트로의 접속을 시도하게 된다. 지난 번 코로나19 문서가 첨부된 악성 메일 공격과 명령제어(C&C) 서버 주소를 비교해 보면 2곳 모두 미리네 호스팅을 사용했으며, 하위 주소 경로도 정확하게 일치한다는 게 ESRC 측의 설명이다.

▲[콘텐츠 사용] 버튼을 클릭해 악성 문서가 실행될 경우 보여지는 문서 화면[이미지=ESRC]


만약 악성 문서가 실행되고, 이 과정에서 공격자가 지정한 ‘search.hta’ 코드가 작동하면 연쇄적으로 다른 파일을 호출하며, 감염된 PC의 다양한 정보들을 수집해 은밀히 탈취하게 된다. 또한, 추가 파일 다운로드 기능과 함께 사용자가 입력하는 키보드 내용을 저장해 유출하는 키로깅 스파이 기능도 수행함으로써 사용자의 중요한 개인정보가 유출되는 피해로 이어질 수 있다.

이와 관련 김수키 조직을 오랜 기간 추적해온 ESRC 측은 “김수키 조직이 최근 매우 활발하게 대남 사이버위협 활동을 하고 있는 점에 주목하고 있으며, doc 워드 기반의 공격을 적극적으로 감행하고 있는 점을 집중 분석하고 있다”며, “현재 알약에서는 해당 악성코드에 대해 Trojan.Downloader.DOC.Gen 등으로 탐지하고 있다. 유사 위협에 사용된 도구와 침해지표(IoC) 등을 ‘쓰렛 인사이드(Threat Inside)’ 위협 인텔리전스 리포트를 통해 제공할 계획”이라고 밝혔다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)