통합보안 기업 이스트시큐리티는 18일 미국 바이든 행정부 출범 기획 설문지로 위장한 해킹 공격이 수행되고 있어 각별한 주의가 필요하다고 밝혔다.
이스트시큐리티 시큐리티대응센터(ESRC)는 이번 공격의 배후로 국제사회에 북한 정부가 연계된 것으로 알려진 해킹 조직 탈륨을 지목했다. 이들은 올해도 지능형지속위협(APT) 그룹 중 가장 활발한 움직임이 포착되고 있다고 설명했다.
탈륨 조직은 지난 2019년 말 미국 마이크로소프트(MS)로부터 정식 고소를 당하며 국제 사회에 주목을 받은 해킹 조직으로 김수키라는 별칭도 가지고 있다.
이들은 한국과 미국 등을 포함해 글로벌 위협 활동을 펼치고 있으며 대북 분야 민간단체나 정치·외교·안보·통일·국방 전·현직 관계자를 대상으로 광범위한 사이버 침투 활동을 전개하고 있다.
특히 북한과 관련된 내용을 취재하거나 연구하는 주요 언론사 기자나 대학교수 등을 대상으로도 꾸준히 공격하고 있다.
ESRC가 포착한 이번 공격은 오늘 발견됐으며 바이든 행정부 출범과 외교 안보 정책에 대한 설문지 문서처럼 사칭한 악성 문서 파일을 사용했다.
악성 DOC 문서가 처음 실행되면 MS 오피스 업데이트로 가장한 허위 영문 메시지를 보여주고 상단의 콘텐츠 사용 버튼을 클릭해 악성 매크로 기능을 허용하도록 유도한다.
메일 수신자가 콘텐츠 사용 버튼 클릭을 누르면 매크로에 포함된 악성 명령이 동작해 해킹 피해로 이어질 수 있다.
ESRC 분석에 의하면 사용자가 문서 내용을 확인하기 위해 콘텐츠 사용 버튼을 누르면 내부에 숨겨진 악성 매크로 기능이 작동하면서 컴퓨터에 설치된 백신 프로그램 정보 등을 수집한다.
'majar.medianewsonline[.]com' 서버와 통신해 정보 탈취와 추가 악성 파일 다운로드를 시도한다. 이 서버는 탈륨 조직의 페이크 스트라이커 APT 캠페인에서 자주 목격된 호스팅 서비스와 일치한다.
또한 추가로 다운로드 시도되는 페이로드 기능의 악성 파일(pay1.down)은 사용자 정보를 수집해 공격자에게 전송하는 전형적인 스파이웨어 활동을 하게 된다.
탈륨 조직은 지난 금요일 대북 분야 전문가를 상대로 해킹 이메일을 대거 유포한 정황도 포착됐다.
발견된 공격은 이메일 발신자를 통일연구원처럼 보이도록 정교하게 조작했다. 본문에 포함된 연구 동향 이미지를 클릭할 경우 특정 피싱 서버인 'naver.servehttp[.]com'로 접속해 이메일 암호 입력을 유도하는 것으로 분석됐다.
만약 메일 수신자가 암호를 입력할 경우 그 정보가 공격자에게 탈취되지만 이와 동시에 정상적인 PDF 문서가 다운로드 돼 피해 사실을 인지하지 못하게 만드는 고도화된 전략을 구사하고 있다.
문종현 이스트시큐리티 ESRC센터장 이사는 "국제사회에서 북한과 연계된 것으로 알려진 탈륨 조직의 위협 수위는 갈수록 증대되고 있어 유사한 공격에 노출되지 않도록 민관의 각별한 주의와 관심이 요구된다"고 강조했다.
이스트시큐리티는 새롭게 발견된 악성 파일을 백신 프로그램 알약(ALYac)에 'Trojan.Downloader.DOC.Gen' 탐지명으로 긴급 추가했으며 대응 조치를 관련 부처와 긴밀하게 진행하고 있다.
