상세 컨텐츠

본문 제목

[주의] 개성공단 연구 문서 사칭한 APT 공격 발견돼

POST

by ESTsoft 2020. 9. 4. 13:27

본문

안녕하세요, 지난 금요일 '국내 대기업 클라우드 서비스를 사칭한 이메일 피싱 공격'이 발견됐다는 소식을 전해드렸었는데요! 오늘은 이 공격의 배후로 추정되는 해킹 조직 '탈륨(Thallium)'의 새로운 공격 징후가 포착되어, 안내드리려고 합니다.

*탈륨: 2019년 12월 미국 마이크로소프트사가 버지니아주 연방법원에 정식으로 고소장을 제출하면서 국제사회에 알려진 해킹 조직

 

 

탈륨 조직의 새로운 공격 형태는?

먼저 이번에 발견된 공격 형태를 살펴보면, ‘개성공단 근무 경험자가 인식한 북한 근로자의 특성과 그에 따른 관계형성 전략 연구 내용’과 ’아시아/태평양 지역의 학술 연구논문 투고 규정’ 문서 등을 사칭해 유포되고 있는 것을 볼 수 있습니다.

 

(좌) 탈륨 조직이 제작한 악성파일 내부에 숨겨진 문서파일 화면, (우) 논문 투고 규정 사칭 문서 화면

 

지금까지 탈륨 조직은 hwp, docx 문서 파일에 악성코드를 교묘히 삽입해 이메일 첨부 파일로 전송하는 일명 스피어 피싱 공격 수법을 사용해 국내 위협 활동을 펼쳐 왔는데요. 이에 반해, 이번에 발견된 악성 파일은 EXE 실행 파일을 그대로 사용하며, 아이콘이나 파일 확장자만 문서처럼 눈속임해 파일을 실행하도록 유도하는 특징을 보이고 있습니다.

특히 실제 명령이 정상 동작하는 ‘논문 투고 규정 사칭’ 악성 문서에서는 중국식 표현으로 추정되는 'zhaozhongcheng' 계정이 발견되었는데요. 이 사용자 정보는 기존 탈륨 조직의 해킹 공격과 연관성이 있는 것으로 나타났습니다.

 

'논문 투고 규정 사칭' 문서에서 발견된 계정 정보

 

ESRC(이스트시큐리티대응센터)는 이번 공격에 활용된 미끼 문서들과 연관된 분야의 연구원이나 종사자들이 주요 APT(지능형 지속 위협) 표적에 노출되었을 가능성을 높게 예상하고 있는데요. 발견된 악성 파일 중 일부는 감염된 PC의 정보를 은밀히 유출하는 사이버 스파이 행위를 정상적으로 수행하는 것으로 분석돼 각별한 주의가 필요한 상황입니다.

이에 이스트시큐리티 ESRC센터장 문종현 이사는 “특정 정부가 연계된 탈륨 조직은 한국을 포함해 미국에서도 APT 공격 활성도가 매우 높은 주요 위협 행위자(Threat Actor)로 등재되어 있다”며, “정치·외교·안보·통일·국방·대북 분야에 종사하는 많은 전문직이 공격 표적에 노출되고 있어 한층 강화된 보안 의식과 각별한 주의가 요구된다”고 당부했는데요.

특히 공식 설문조사나 서류심사, 행사 초대 등을 빌미로 악성 이메일을 발송하여 메일 수신자가 첨부 파일을 열어보도록 하는 수법을 활용하고 있기 때문에, 의심되는 이메일을 수신하면 전문 보안업체에 자문을 요청하거나 유관 기관에 적극적으로 신고해 피해를 예방해 나가야 합니다!

 


 

오늘도 새롭게 발견된 APT 공격 사례를 살펴보고, 대응방법에 대해 알아보았는데요.
탈륨조직에 대해 더 알고 싶다면, 알약 블로그를 통해 자세한 내용을 확인해 보세요!

 

관련글 더보기

댓글 영역