상세 컨텐츠

본문 제목

'북한비핵화’ 관련 내용 담은 악성문서 유포

악성코드 분석 리포트

by 알약4 2021. 5. 12. 15:57

본문

 

 

안녕하세요. ESRC(시큐리티 대응센터)입니다.

오는 21일 열리는 한미정상회담을 계기로 북미대화 재개 가능성이 조심스럽게 나오는 가운데, 북한 배후 해킹 그룹 ‘탈륨(Thallium)’이 활발하게 활동중인 정황이 발견돼 대북 관련 전문가와 관계자의 각별한 주의가 요구됩니다.

최근 탈륨 조직의 ‘제헌절 국제학술포럼’, ‘북한비핵화컨트롤타워구축(안)’ 등으로 위장한 피싱 공격이 탐지되었습니다. 

제헌절 국제학술포럼은 7월 27일 진행 일정의 포럼 내용을 담고 있으며, 개회식 내용에 통일부와 외교부장관 이름이 포함돼 있고, ‘한반도 평화·통일 교두보-북중러접경 국제공항 및 배후단지 조성방안’이라는 내용이 담겨 있습니다.


[그림 1] 11일과 12일 연속으로 발생한 탈륨의 공격 캠페인



이러한 유형은 신뢰할만한 문서 내용처럼 수신자를 현혹하는 전형적인 스피어피싱 공격으로, ‘북한비핵화컨트롤타워구축(안)’이라는 제목의 문서는 ‘핵물질·시설 검증에 필요한 국내 인적·기술자원 동원 방안’이라는 제목으로, 관련 산하기관으로 산업자원부, 과기정통부, 국방부, 원자력안전위원회 등의 내용이 포함돼 있습니다.

탈륨은 우리나라에서 3가지 중요한 APT 캠페인을 벌이고 있으며, ▲대북 언론기자와 북한 인권 분야 활동 관계자를 노리는 스모크 스크린(Smoke Screen) ▲국내외 방위산업체, 비트코인 거래소, 코로나19 관련 제약회사, 교육연구분야 등을 타깃으로 하는 블루 에스티메이트(Blue Estimate) ▲대북단체, 외교·안보·국방·통일분야 전문가를 주요 표적으로 삼는 페이크 스트라이커(Fake Striker)로 구분됩니다. 모든 캠페인에서 북한분야 연구 및 활동가들이 모두 위협 대상에 포함됩니다.

이들은 북한식 언어 스타일과 폰트(천리마체), 이름(리영민) 등을 사용한 것이 포착된 바 있고, 스피어피싱과 공급망 공격을 함께 쓰며, 윈도우 운영체제 뿐만 아니라 안드로이드와 맥용 악성 파일을 유포한 이력도 발견됐습니다. 전문가들은 탈륨 조직의 정교하고 고도화된 사이버 위협 활동이 증가하고 있어 피해 가능 우려가 높아지고 있다고 경고합니다.

이들은 주로 이메일 기반의 해킹 공격을 주무기로 사용하지만, 종종 공급망 공격을 함께 수행하기도 하며 안드로이드 스마트폰 이용자를 노린 모바일 공격도 함께 수행하고 있으므로 각별한 주의가 필요하며 특히 외교·안보·국방·통일 및 대북분야 종사자들은 경감심을 높여 항상 대비하는 자세와 노력이 요구되며 민관의 긴밀한 대응이 필요합니다.

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 'Trojan.Downloader.DOC.Gen, Trojan.Downloader.Script.gen, Trojan.Agent.111616K'로 탐지 중이며 관련된 IoC는 쓰렛 인사이드(Threat Inside)에서 확인하실 수 있습니다.

 

 

관련글 더보기

댓글 영역