北 연계 사이버 위협 조직 탈륨, PDF 문서 취약점 이용한 공격 수행

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

최근 악성 PDF 문서를 이용한 새로운 APT(지능형지속위협) 공격이 국내에서 지속 발견돼, 각별한 주의가 필요합니다.

 

[그림 1] 악성 PDF 문서가 실행되면 보여지는 화면 중 일부

분석 결과, 이번 PDF 취약점 공격은 지난 5월경부터 8월 현재까지 국내 외교, 안보, 국방, 통일 분야 전·현직 종사자 등을 상대로 은밀한 해킹 공격에 사용되고 있던 것으로 확인되었습니다. 공격자들은 최근까지 DOC 워드 문서의 매크로 기능을 악용한 감염 기법을 주로 활용했는데, 최근에 PDF 취약점을 이용한 방식으로 변화를 시도한 것으로 나타났습니다.

이번 PDF 취약점 공격에 사용된 기술과 전략을 심층 분석한 결과, 위협 배후는 북한 연계 해킹 조직 ‘탈륨’인 것으로 추정됩니다. 이들 조직은 최근까지 국내 장차관 급을 역임했던 고위급 한국 정부 인사 등을 상대로 지속적 해킹 시도를 수행했으며, 이번 PDF 취약점 공격 역시 동일한 ‘페이크 스트라이커(Fake Striker)’ 위협 캠페인의 연장선으로 보입니다. 이들은 지난 2021년 한미 정상 회담 기간 중에도 외교·안보·통일 및 대북 분야 전문가를 상대로 해킹을 시도한 것으로 확인된 바 있지만 주로 DOC 문서가 악용됐고, 지금처럼 PDF 취약점을 활용한 사례는 이번이 처음입니다. 

이러한 PDF 취약점은 은밀한 공격에 사용 중이라, 외교·안보·국방·통일 분야 전문가들의 각별한 주의와 대비가 필요하며, 보통 PDF 문서는 안전하다는 인식이 있어 신속하게 위험 가능성을 전파할 필요가 있습니다.

아래 그림은 PDF 악성 문서에 포함된 스크립트 명령어 화면 중 일부입니다.

 

[그림 2] PDF 문서 내부에 숨겨진 악성 스크립트 코드 화면

PDF 내부에 은닉된 스크립트 코드가 작동되면, Base64 형식으로 인코딩된 Shellcode 명령이 실행되고, 분리된 코드 단위로 은밀하게 숨겨져 있는 악성 페이로드 파일이 호출됩니다. 또한, 공격자들은 분석 환경을 회피하기 위해 레지스트리 키를 통해 가상(VMware) 환경 여부를 파악하고, 현재 사용 중인 프로세스 목록을 비교하여 특정 국내 보안 프로그램도 조회하는 치밀함도 보였습니다. 

 

 

[그림 3] C2 접속 코드 일부

악성 파일은 ‘tksRpdl.atwebpages[.]com’ 명령제어(C2) 서버와 통신을 시도하며, 공격자가 지정한 명령을 순차적으로 실행하고, 조건에 따라 추가 악성 파일을 설치해 민감한 개인정보 탈취 및 원격제어 등을 시도합니다. 또한 C2 도메인 주소에 사용된 영문자 알파벳을 한글 키보드로 변환하면, ‘산께이(tksRpdl)’라는 일본식 단어로 변환되며, 사시미(tktlal)라는 표현의 도메인도 사용되었습니다. 그리고 탈륨 조직의 유사 공격에서 여러 차례 목격된 ‘WebKitFormBoundarywhpFxMBe19cSjFn’ 통신 문자열이 이번 공격에서도 동일하게 발견되었습니다. 

페이크 스트라이커(Fake Striker)로 분류된 이번 탈륨 조직의 APT 공격 캠페인은 국내 전현직 장차관급 유력인사와 함께 대북 연구분야 고위 관계자를 집중적으로 노리고 있으며, 기존에 유행했던 DOC 악성 문서 형태와 더불어 PDF 취약점을 활용한 공격도 가세하고 있어 PDF 파일을 이메일로 전달받을 경우 세심한 주의와 대비가 요구됩니다.

현재 알약에서는 해당 악성코드를 Trojan.Agent.208091A, Trojan.Downloader.81409 탐지 명으로 진단하고 있으며, 관련 상세 분석 보고서는 Threat Inside 웹서비스 구독을 통해 확인하실 수 있습니다.