Home > 전체기사

18일 감행된 연쇄 사이버공격! 키워드는 김수키와 건설사 발주메일

  |  입력 : 2020-03-18 16:47
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
김수키 그룹, 개성공단 전문가 칼럼 위장 문서로 공격
유명 건설사 사칭한 발주메일... 전문용어 사용해 피해자 노려


[보안뉴스 원병철 기자] 18일 한수원을 공격했던 해킹그룹으로 잘 알려진, 북한으로 추정되는 국가의 지원을 받는 ‘김수키(Kimsuky)’의 새로운 공격과 대형 건설사를 사칭해 발주서를 이용한 공격이 연이어 발견됐다. 특히 주로 ‘한글’ 문서를 이용해 악성파일을 만들던 김수키 그룹이 이번에는 MS의 WORD 문서를 이용한 것으로 확인됐으며, 두번째 발주서 악성메일은 플랜트 분야의 전문용어를 사용해 실제 업무용 문서로 착각하게끔 만들어 주의가 요구된다.

▲공격에 사용된 MS WORD 문서[자료=ESRC]


김수키의 MS WORD 문서 악용한 사용자 정보 탈취 공격
이번에 발견된 김수키의 공격은 과거와 달라진 형태를 띠고 있다. 그동안 주로 ‘한글’문서만 사용하던 김수키의 공격패턴과 달리 이번에는 ‘MS WORD’ 문서파일을 이용한 것으로 확인된 것. 이스트시큐리티의 시큐리티대응센터(이하 ESRC)에 따르면, 메일에 첨부된 악성 WORD 문서를 다운받아 실행하면 콘텐츠 사용 버튼 클릭을 요구하고, 버튼을 클릭하면 매크로 함수가 실행되어 악의적인 웹사이트로의 통신을 시도한다.

▲c2 서버와 명령을 주고받는 과정의 패킷 화면[자료=ESRC]


이어 mybobo.mygamesonline[.]org 명령제어(C&C) 서버로 통신을 해서 해커가 지정한 추가 명령을 받아 사용자 정보 탈취 등의 악성행위를 시도한다. 상단의 명령제어 서버와 명령을 주고 받는 과정의 패킷 화면을 보면, ‘WebKitFormBoundarywhpFxMBe19cSjFnG’ 문자열을 확인할 수 있는데, 이는 기존의 김수키 그룹이 사용하던 바운더리 데이터다.

▲○○건설을 사칭한 악성메일[자료=보안뉴스]


국내 유명 건설사 사칭한 발주 메일
18일 발견된 두 번째 악성메일은 실존하는 기업인 ‘○○건설’을 사칭해 발송됐다. 특히 ‘[울산 북항 LNG PKG] 견적 _ 1 단계 LNG 패키지, 프로젝트 자재 및 장비 요청’이란 제목의 해당 악성메일은 울산 북항 지역의 플랜트 공사를 거론하며 프로젝트 자재 및 장비 발주를 사칭했는데, 사용된 용어나 작성된 글을 보면 실제 해당 분야에서 사용하는 것임을 알 수 있다. 다만 <보안뉴스>가 확인한 결과, 해당 기업에는 이번 악성메일의 발송자와 같은 이름의 직원은 없으며, 발송된 메일 주소 역시 사용하지 않는 메일로 확인됐다. 또한, 울산 북항에서 실제 건설 프로젝트가 있긴 하지만 프로젝트 명은 틀린 것으로 확인됐다.

▲메일에 첨부된 악성파일은 바이러스토털에서 단 6개의 안티 바이러스만이 악성으로 분류했다[자료=보안뉴스]


메일에 첨부된 파일은 ‘(RFQ)1.8프로젝트 문서(Equipment, project item specification)_(243452BB)’란 이름의 디스크 이미지 파일(.img)이며, 압축프로그램을 사용해 풀면 ‘DAWOOENC LNG RFQ PACKAGEDOCUMENTS’란 이름의 실행파일(.exe)이 나온다. 문제는 해당 악성파일이 3월 18일 오후1시 현재 바이러스토털(Virustotal) 기준 단 6개의 안티 바이러스만이 악성파일로 진단했다는 사실이다.

한 보안전문가는 “최근 코로나19 사태로 재택근무를 하는 회사가 많은데, 특히 개인 PC를 사용해 업무를 볼 경우 업무용 PC보다 보안이 취약할 수 있기 때문에 조금이라도 의심이 가는 메일은 절대 첨부파일이나 링크를 열어보지 말고, 이번 발주메일처럼 중요한 문서일 경우 직접 확인해보는 것도 필요하다”고 조언했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)