청호PENTEST - Professional Penetration Testing Company

Select Language
사용자 PC, 시스템 정보, 최근 실행 목록, 실행 프로그램 리스트 정보 수집하고 좀비PC 만들어
특정 정부 지원 받는 김수키(Kimsuky) 조직의 이전 공격과 악성코드 제작기법, 공격 스타일 등 동일


 ‘통일외교안보특보 세미나 발표 문서’를 사칭해 특정 관계자 정보를 노린 스피어피싱(Spear Phishing) 공격이 발견돼 관련 업계 종사자들의 각별한 주의가 필요하다. 보안 전문 기업 이스트시큐리티(대표 정상원)는 지난 1월 6일(현지 시간) 미 워싱턴DC 국익연구소의 ‘2020년 대북 전망 세미나 관련 질의응답 내용’ 등을 담은 악성 이메일이 발견됐다고 14일 긴급 발표했다.

▲ 통일외교안보특보 발표자료를 사칭한 악성 문서 파일[자료=이스트시큐리티]


해당 악성 DOC 문서 파일을 열어보면 MS워드 프로그램 상단에 보안 경고창이 나타나는 동시에 문서를 정상적으로 보기 위해 경고창의 ‘콘텐츠 사용’ 버튼을 누르도록 유도하는 영문 안내가 나타난다.

▲악성 문서파일 실행 시 보여지는 콘텐츠 사용 유도 화면[자료=이스트시큐리티]


이 번 공격은 실제 지난 6일(현지시간) 미국 싱크탱크 국익연구소가 워싱턴DC에서 2020년 대북 전망을 주제로 한 세미나를 진행한 것으로 알려졌으며, 공격자가 마치 해당 세미나 내용처럼 위장해 APT(지능형지속위협) 공격을 수행한 것으로 판단된다.

실 제 발견된 악성 문서 파일명은 ‘문정인 대통령 통일외교안보특보 미국 국익센터 세미나.doc’ 이다. 만약 수신자가 세미나 발표자료로 착각해 이 문서를 실행하고 매크로 사용을 허용할 경우 한국의 특정 서버에서 추가 악성코드를 설치하고, 사용자 PC의 △시스템 정보 △최근 실행 목록 △실행 프로그램 리스트 등 다양한 정보를 수집하는 동작을 수행하는 동시에 공격자의 추가 명령을 대기하는 이른바 좀비 PC가 된다.

좀비 PC 상태가 되면 공격자가 원격 제어 등을 통해 언제든 추가 악성 행위를 시도할 수 있어 2차 피해로 이어질 가능성이 높다. 다만, 스크립트 형식에 일부 알파벳 오타가 존재해 명령어가 제대로 수행되지 않는 경우도 존재한다.

특 히, 해당 악성파일을 ‘바이러스토탈(Virustotal)’에서 확인했더니 전체 61개 안티 바이러스 제품 중에서 20개만이 악성파일로 진단했다. 물론 실제 제품과 바이러스토탈과는 결과의 차이가 있을 수 있지만, 전체 안티바이러스 제품 중 1/3만이 악성파일로 분류했다는 점만 봤을 때 이번 공격의 위험성을 확인할 수 있다.

이스트시큐리티 시큐리티대응센터(ESRC) 문종현 이사는 “이번 공격은 2019년 4월에 공개된 바 있는 한·미 겨냥 APT 캠페인 ‘스모크 스크린’의 사이버 위협 연장선의 일환으로, HTA 악성 스크립트를 통해 은밀하게 1차 침투를 수행한다”며, “특정 정부의 지원을 받는 것으로 알려진 김수키(Kimsuky) 조직의 이전 공격과 악성코드 제작 기법, 공격 스타일 등이 대부분 동일해 해당 조직의 소행으로 추정된다”라고 밝혔다.

이 밖에도 지난 2019년 10월 동일한 APT 공격자가 북한 난민 구출요청처럼 위장한 내용으로 스피어피싱 공격을 수행한 바도 있으며, 이 공격에 사용된 악성 문서 파일의 작성자 계정은 이번 공격에 사용된 것과 동일 계정으로 분석됐다.

▲2019년 10월 동일한 공격자가 사용한 스피어 피싱 이메일 화면[자료제공=이스트시큐리티]


현 재 ESRC에서는 피해를 방지하기 위해 공격에 사용된 악성 파일을 면밀히 분석하고 있으며, 추가 분석이 완료되면 분석 내용을 자사의 인공지능 기반 악성코드 위협 대응 솔루션 ‘쓰렛인사이드(Threat Inside)’와 알약 공식 블로그를 통해 공개할 예정이다.
번호 제목 닉네임 조회 등록일
Selected ‘통일외교안보특보 발표 문서’ 사칭 스피어피싱 공격... 김수키 추정
[레벨:30]관리자
29 2020-01-20
8338 배송대행 업체 산타빌리지 해킹... 해커, 개인정보 볼모로 협박중
[레벨:30]관리자
24 2020-01-20
8337 얼굴인식 AI를 속이는 AI? 기만 공격 가능하다
[레벨:30]관리자
37 2020-01-20
8336 코니 APT 공격 출현... 2020년 동경 패럴림픽 문서 위장했다
[레벨:30]관리자
28 2020-01-20
8335 MS IE 제로데이 취약점 악용한 타깃 공격 발생
[레벨:30]관리자
30 2020-01-20
8334 청와대 행사 견적서 사칭 변종 공격 발견... 北 추정 ‘김수키’ 조직이 또?
[레벨:30]관리자
20 2020-01-20
8333 2019년 4분기, ‘소디노키비’ 랜섬웨어 최다 유포...‘넴티’ 랜섬웨어도 급증
[레벨:30]관리자
41 2020-01-10
8332 마이크로소프트, 북한 해커들의 공격용 도메인 무력화시켜
[레벨:30]관리자
31 2020-01-10
8331 이메일 시스템 업그레이드? 사용자 계정 노린 피싱 메일 유포
[레벨:30]관리자
41 2020-01-10
8330 공정위, 조사공문 사칭한 해킹메일 피해 주의 당부
[레벨:30]관리자
34 2020-01-10
8329 공정거래위원회 사칭한 ‘악성메일’ 유포중
[레벨:30]관리자
44 2019-12-31
8328 유명 라우터들 취약점 악용해 디도스 공격하는 Mozi P2P 봇넷…주의
[레벨:30]관리자
52 2019-12-30
8327 최근 국내외 제조업체 등 기업 대상 해킹 공격 지속…주의
[레벨:30]관리자
42 2019-12-30
8326 2019년 화려하게 부활한 랜섬웨어 총정리
[레벨:30]관리자
36 2019-12-30
8325 시트릭스 제품군 보안 취약점 발견
[레벨:30]관리자
48 2019-12-30
8324 중국의 APT20, 2년 동안 10여개 국에서 스파이 활동 벌여
[레벨:30]관리자
59 2019-12-26
8323 안드로이드용 트위터 앱에서 취약점 발견
[레벨:30]관리자
39 2019-12-26
8322 “2020년, 위협 인텔리전스 기반으로 실시간 위협 대응 능력 키워야”
[레벨:30]관리자
56 2019-12-23
8321 KEB하나은행 보안메일 사칭한 피싱 메일 유포중
[레벨:30]관리자
87 2019-12-23
8320 한 단계 더 발전한 메이즈 랜섬웨어, 이젠 데이터 공개까지
[레벨:30]관리자
44 2019-12-23
Tag List

서비스 링크

X
Login

브라우저를 닫더라도 로그인이 계속 유지될 수 있습니다. 로그인 유지 기능을 사용할 경우 다음 접속부터는 로그인을 하실 필요가 없습니다. 단, 게임방, 학교 등 공공장소에서 이용 시 개인정보가 유출될 수 있으니 꼭 로그아웃을 해주세요.

아이디가 없으신 분은

회원가입 후 이용하실 수 있습니다.

X