상세 컨텐츠

본문 제목

라자루스 및 탈륨조직, 외교·안보·국방·통일 분야 전문가 대상 표적 공격 급증 주의보

악성코드 분석 리포트

by 알약4 2021. 4. 20. 10:33

본문

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 

최근 외교·안보·국방·통일 분야에 종사하는 전문가나 관계자를 겨냥한 이메일 해킹 시도가 국내에서 지속되고 있어 각별한 주의가 필요합니다.


[그림 1] 설문지로 사칭해 이메일을 보낸 화면 



국제사회에서 오래 전부터 북한 당국과 연계된 것으로 공식 언급되어 온 ‘탈륨’(Thallium)과 ‘라자루스’(Lazarus) 조직이 해당 공격의 배후 세력으로 지목되었습니다. 

각 조직은 국내 특정 분야를 대상 삼아 은밀하게 사이버 위협 행위에 가담하고 있어 그 이면에 어떤 목적을 가진 것인지 의심스러운 상황입니다. 

4월 현재까지 두 조직의 주요 활동 무대는 한국의 외교·안보·국방·통일 분야이며, 일부 방위산업이나 군사전문가들도 표적에 노출되는 것으로 관측됩니다. 

공격은 주로 악성 DOC 문서를 이메일에 첨부해 보내는 전통적 방식이 성행하지만, 수신자를 현혹시키기 위한 위협 시나리오가 나날이 정교해지고 있습니다.

처음 이메일에 보내는 설문지 안내 파일에는 위협 요소가 없는 정상 문서를 첨부해 의심은 낮추고 신뢰도를 높입니다. 

 

이후 회신할 때 20만 원 상당의 사례금 지급 명목으로 수신자 심리를 자극해 악성 문서 열람을 유도하는 지능적 투-트랙 스피어 피싱 전략을 구사했습니다. 더불어 악성 문서에 자체 암호 설정 기능을 적용해 보안 프로그램이 탐지하지 못하게 계획한 치밀한 침투 시도 정황도 포착됐습니다.

여러 사례를 종합적으로 분석한 결과, 탈륨 조직은 스위스의 프로톤메일(ProtonMail) 서비스를 공격에 도입했습니다.

프로톤메일은 스위스 제네바에서 2013년 설립된 종단간 암호화 이메일 서비스로 보안 기능이 높은 것으로 알려져 있어 주로 랜섬웨어 제작자들이 비트코인 요구나 협상에 사용하는 대표적 이메일 서비스입니다. 따라서 프로톤 이메일로 평소와 다른 접근이 목격된 경우 세심히 관찰할 필요가 있습니다. 

아울러 라자루스 조직은 DOC 문서파일 내부에 조작된 PNG 그림 파일 포맷의 데이터를 삽입하고 WIA_ConvertImage 매크로 함수로 BMP 그림 파일 포맷으로 변환합니다. 이후 내부에 숨겨둔 악성 스크립트가 호출되는 새로운 전략을 펼쳤습니다. 이른바 이미지에 몰래 악성코드를 은닉하는 ‘스테가노그래피(Steganography)’ 기법을 구사했습니다.

 

이러한 공격에는참가신청서양식.doc’, ‘생활비지급.doc’ 등 여러 유사 사례가 포착되고 있는데, 악성 매크로 기능[콘텐츠 사용]을 실행하기 위해 초기에 디자인한 가짜 화면에 특이하게프로그람단어가 발견됐고, 이후 보고된 변종에선 문구 자체가 변경됐습니다. 하지만 악성 문서 작성자는 공통적으로 ‘William’ 이름이 동일하게 사용됐습니다. 그리고 아래 명령 제어(C2) 주소로 한국의 웹 사이트 일부가 악용돼, 지속적 보안강화 조치가 요구됩니다.

 

- jinjinpig.co[.]kr/Anyboard/skin/board.php

- mail.namusoft[.]kr/jsp/user/eam/board.jsp

- snum.or[.]kr/skin_img/skin.php

- ddjm.co[.]kr/bbs/icon/skin/skin.php

 

 

[그림 2]  프로그람 표현이 포함된 악성 문서 실행 화면

 

 

참고로 컴퓨터용 북한 말 중에프로그람이라는 표현이 있는데, 바로 프로그램(Program)을 의미하는 대표적 북한식 영어 표기입니다.

 

사이버 위협 배후를 조사하는데 있어서 지리학적 요소와 언어학적 분석은 중요한 근거로 작용합니다. 평상시 사용하는 언어나 습관, 문화적 차이로 인해 발생하는 흔적들은 증거 지표가 될 수 있습니다.

 

전문가에 따르면 최근 악성 DOC 파일을 이용한 스피어 피싱 공격이 기승을 부리고 있고, 피해 대상자의 전문 분야에 따라 맞춤형 공격 시나리오를 적절히 구사하고 있으며, 특히 북한 당국과 연계된 것으로 널리 알려진 탈륨, 라자루스의 사이버 공격 수위가 함께 증대되고 있어 유사 위협에 노출되지 않도록 민관의 각별한 주의와 관심이 요구됩니다.

 

또한 기존에 널리 쓰이던 HWP 문서의 포스트스크립트(PostScript) 취약점 대신 최근에는 DOC 매크로(Macro) 공격이 상대적으로 우위를 점하고 있지만, 종종 HWP 문서 내부에 악성 OLE 개체를 삽입하는 방식도 관찰되고 있어, 반드시 최신 버전의 오피스 프로그램을 사용하고 보안 기능을 상향 설정하는 것이 중요합니다.

 

현재 이스트시큐리티 알약(ALYac)에서는 APT 공격에 사용된 악성코드 샘플을 'Trojan.Downloader.DOC.Gen'으로 탐지 중입니다.

 

 

관련글 더보기

댓글 영역