탈륨 조직, 북한 제8차 당대회 평가내용 문서로 사이버 공격 감행

 

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다.

 

이메일에 악성 파일을 첨부해 감염을 유도하는 전형적인 스피어 피싱(Spear Phishing) 수법의 악성 DOCX 문서파일 2개가 발견됐습니다.

 

이번 공격에는 2가지 종류의 악성 문서 파일이 포착됐는데, 기능적으로는 동일한 형태로 분석됐습니다.

 

    ● 2021-0112 종합 당대회평가.docx

    ● 당대회 결론.docx

 

각 문서 파일은 서로 다른 내용을 담고 있지만, 위협 요소적인 측면으로 보면 같은 동작과 기능을 수행하게 됩니다.

 

문서가 처음 실행되면 다음과 같이 워드(docx) 내부 'settings.xml.rels' 코드에 선언된 'attachedTemplate' 타깃 주소를 호출합니다. 이때 사용된 호스트 서버 주소는 'reform-ouen[.]com/wp-includes/css/dist/nux/dotm/dwn.php?id=0119' 입니다.

 

[그림 1] 워드 문서 내부에 포함된 악성 URL 주소

 

해당 명령이 작동하면 실제 문서 로딩 과정에서 다음과 같은 화면이 일시적으로 보여지게 됩니다.

 

[그림 2] 악성 템플릿 다운로드 시도 화면

 

당시 분석 시점에는 해당 서버와 정상적인 통신이 진행되지 않아, 추가 위협 과정이 정확히 재연되진 않았습니다. 하지만 과거 유사 사례를 비교해 봤을 때 악성 매크로가 담긴 템플릿 다운로드 과정이 진행됐을 것으로 추정됩니다.

 

2개의 문서가 각각 실행될 때 보여지는 본문을 비교해 보면 하나는 북한의 제8차 당대회 평가(종합) 내용을 담고 있고, 다른 하나는 김정은의 8차 당대회 결론 내용을 포함하고 있습니다.

 

2021-0112 종합 당대회평가.docx	당대회 결론.docx

 

각 문서 파일의 속성을 살펴보면, 만든이 정보는 서로 다르지만, 마지막으로 수정한 사람 'Freehunter' 계정이 일치하는 것과 마지막 수정한 날짜와 시간(2021-01-20 오전 9:39)이 동일한 것을 확인했습니다.

 

[그림 3] 문서 파일 속성 비교 화면

 

ESRC 연구원들은 해당 악성 문서파일의 작동 방식이 과거 탈륨(Thallium) 조직들이 사용한 방식과 동일한 것으로 분류했으며, 이들이 2021년에도 북한 분야와 관련된 다양한 미끼 파일을 활용중인 것을 확인했습니다.

 

이스트시큐리티는 해당 악성 파일을 알약(ALYac) 제품군에 ' Trojan.Downloader.DOC.Gen' 탐지명으로 긴급 업데이트 하였고, 유사 변종 탐지를 지속해서 추가하고 있습니다. 따라서 이용자 분들은 항시 알약 백신 프로그램을 최신 버전으로 유지해 주시길 바랍니다.