보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

北 추정 탈륨, 11일과 12일 연속해 한국에서 공격 캠페인 진행

  |  입력 : 2021-05-12 13:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
11일은 페이크 스트라이커 캠페인, 12일은 블루 에스티메이트 캠페인 발생

[보안뉴스 원병철 기자] 마이크로소프트가 북한의 해킹그룹으로 지목한 ‘탈륨(Thallium)’이 11일과 12일, 연속해서 대북 관련 전문가를 노린 공격을 벌여 관계자의 주의가 요구된다. 특히 이번 공격들은 그동안 탈륨의 3대 APT 캠페인 중 2개의 캠페인의 연속인 것으로 확인됐다.

▲11일과 12일 연속으로 발생한 탈륨의 공격 캠페인[자료=ESRC]


이스트시큐리티의 시큐리티대응센터(이하 ESRC)는 북한 연계 해킹조직으로 널리 알려진 탈륨의 공격이 급증하고 있어 각별한 주의가 필요한 상황이라고 밝혔다. 특히 지난 5월 11일, 12일 연속해서 ‘제헌절 국제학술포럼’, ‘북한비핵화컨트롤타워구축(안)’ 등의 내용으로 새로운 탈륨 공격이 포착됐다.

한국에서 진행되는 탈륨의 3대 APT(지능형지속위협) 캠페인은 대표적으로 △스모크 스크린(Smoke Screen) △블루 에스티메이트(Blue Estimate) △페이크 스트라이커(Fake Striker) 등으로 구분된다. 물론 이러한 캠페인은 캠페인을 발견한 기관이나 기업에 따라 명칭이 달라진다. 예를 들어, 마이크로소프트가 탈륨으로 지목한 이 공격그룹은 보안전문가 사이에서는 김수키(Kimsuky)와 연관이 있는 것으로 알려졌다.

ESRC에 따르면, 스모크 스크린은 주로 대북언론 기자와 북한 인권분야 활동 관계자를 겨냥한 공격에서 주로 포착되고, 블루 에스티메이트는 국내외 방위산업체, 비트코인 거래소, 코로나19 관련 제약회사, 교육연구분야 등을 노렸으며, 페이크 스트라이커는 대북단체, 외교·안보·국방·통일분야 전문가를 주요 표적으로 삼고 있다. 물론, 각 캠페인마다 공통적으로 북한분야 연구 및 활동가들이 모두 위협 대상에 포함된다.

일각에선 캠페인별로 개별 위협 조직으로 분류하는데, 이스트시큐리티 ESRC는 오랜 연구 자료를 기반으로 모두 탈륨 조직으로 통합관리 중이다. 이들은 북한식 언어 스타일과 폰트(천리마체), 이름(리영민) 등을 사용한 것이 포착된 바 있고, 스피어피싱과 공급망 공격을 함께 쓰며, 윈도우 운영체제뿐만 아니라 안드로이드와 맥용 악성파일을 유포한 이력도 존재한다.

이번에 발견된 공격 중 11일 ‘제헌절 국제학술포럼’을 이용한 공격은 ‘페이크 스트라이커’ 캠페인이며, 12일 ‘북한비핵화컨트롤타워구축(안)’을 이용한 공격은 ‘블루 에스티메이트’ 캠페인에 해당된다.

각각의 악성 파일은 실행될 경우 정상적인 화면을 보여주어 이용자를 현혹한다. 먼저 2021년 7월 27일 진행 일정으로 제헌절 국제학술포럼 내용을 담고 있는 문서에는 개회식 내용에 통일부와 외교부장관 이름이 포함돼 있고, ‘한반도 평화·통일 교두보-북중러접경 국제공항 및 배후단지 조성방안’이라는 내용이 담겨 있다. 보통 이런 유형은 이메일에 악성파일을 첨부하는 전형적인 스피어피싱 수법으로, 마치 신뢰할만한 문서 내용처럼 수신자를 현혹한다. ESRC 분석에 따르면 이 문서는 지난 5월 5일 작성됐고, 공격자가 사전에 지정한 ‘rukagu.mypressonline[.]com’ 서버로 명령을 송·수신해 사용자 정보를 탈취하는 과정을 거친다.

북한비핵화 추진을 위한 정부 컨트롤타워 구축 제목의 문서는 ‘핵물질/시설 검증에 필요한 국내 인적/기술자원 동원 방안’ 타이틀과 관련 산하기관으로 산업자원부, 과기정통부, 국방부, 원자력안전위원회 등의 내용이 포함돼 있다. 해당 문서는 지난 5월 8일 마지막 저장됐고, 특히 ‘Bear’라는 계정이 사용됐는데, C2(명령제어) 서버 ‘yes24-mart.pe[.]hu/bear’ 하위 경로명으로 사용된다.

흥미로운 사실은 이 계정이 작년 9월 경 ‘블루 에스티메이트’ 유사 변종 공격에서 동일하게 사용된 사례가 포착된 바 있다는 점이다.

ESRC 문종현 센터장은 최근 탈륨 조직의 정교하고 고도화된 사이버 위협 활동이 증가하고 있어 피해 우려가 높아지고 있다고 강조했다. 문종현 센터장은 “이들은 주로 이메일 기반의 해킹공격을 주무기로 사용하지만, 종종 공급망 공격을 함께 수행하기도 하며, 안드로이드 스마트폰 이용자를 노린 모바일 공격도 함께 수행하고 있으므로 각별한 주의가 필요하다”면서, “특히, 외교·안보·국방·통일 및 대북분야 종사자들은 경각심을 높여 항상 대비하는 자세와 노력이 요구되며 민관의 긴밀한 대응이 필요하다”고 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북