상세 컨텐츠

본문 제목

북한 최근 정세 칼럼으로 위장한 北 연계 '금성121' APT 공격 주의!

악성코드 분석 리포트

by 알약4 2021. 9. 7. 15:15

본문

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

 

대표적인 北 연계 해킹 그룹으로 알려진 ‘금성121’의 새로운 APT공격이 발견되었습니다.

 

이번 공격은 이메일에 악성 파일을 첨부해 보내는 전형적인 스피어 피싱(Spear Phishing) 공격 기법이 사용됐고, 마치 최근 북한의 정세와 안보관련 주제의 문서처럼 가장해 북한 인권단체의 대표를 공격 표적으로 삼았습니다.

 

먼저 공격자는 특정 인물의 SNS 계정을 해킹한 후 친구 관계로 연결된 또 다른 사람을 물색합니다. 친구 리스트에서 추가 공격대상 인물을 선정하고 SNS 메신저로 가벼운 안부 인사와 함께 평소 비슷한 관심사나 가십거리로 경계심을 낮춥니다. 그런 다음 자신이 작성한 최근 북한 정세와 관련된 칼럼에 대해 조언을 구하는 식으로, 악성 DOC 문서 파일을 이메일로 전달합니다. 

 

해당 문서는 악성 매크로(Macro) 명령이 삽입돼 있어, [콘텐츠 사용]을 허용할 경우 예기치 못한 해킹 위협에 노출되므로, 평소 [콘텐츠 사용] 버튼을 허용하지 않는 보안 습관이 무엇보다 중요합니다.

 

해당 악성 DOC 문서 파일은 작년 3월달에 마치 위장 탈북 증거처럼 유인했던 ‘스파이 클라우드’ APT공격과 매우 유사한 것으로 분석됐는데, 악성 매크로 함수 중 난독화 루틴이 일부 변경된 점이 주목할 점입니다.

 

그리고 유사 악성 파일 내부에서 다음과 같은 프로그램 개발 경로 흔적이 발견됐는데, 사이버 무기를 의미하는 ‘Weapon’ 경로가 사용되기도 했고, ‘bluelight’ 문자열이 여러 차례 목격되었습니다.

 

- E:\Development\ATTACK-SYSTEM\Weapon\Release\ExeInHwp.pdb
- E:\Development\BACKDOOR\ncov\Release\bluelight.pdb
- E:\Development\BACKDOOR\ncov\x64\Release\bluelight.pdb

 

이번 사건의 배후는 북한 연계 해킹 그룹 일명 ‘금성121’ 조직의 소행으로 추정됩니다.

 

최근 이들은 대북 분야 언론매체를 겨냥한 워터링 홀(Watering Hole) 공격과 함께 안드로이드 기반 스마트폰 이용자를 노린 스미싱(Smishing) 공격까지 진행하며 그 위협 활동이 그 어느때보다 높아진 상황입니다.

 

만약 모바일로 전달된 악성 APK 앱을 설치할 경우 안드로이드 기반 휴대폰의 주요 정보와 함께 단말기에 저장된 주소록, 문자 메시지, 통화 내역, 위치 정보, 녹음, 사진 파일 등 개인정보가 대거 유출되는 피해로 이어지게 됩니다. 특히 유사 공격에서 ‘kingbori hacker’ 문자열이 공통적으로 발견되었습니다.

 

‘금성121’ 조직은 ‘pCloud’, ‘Yandex’, ‘Dropbox’, ‘Google Drive’, ‘OneDrive’ 등의 클라우드 서비스를 정보 탈취 거점으로 쓰는 고유한 특징이 있고, 작년 말부터 금년 상반기에는 IE취약점과 Ruby 프로그래밍 언어를 조합한 워터링 홀 공격까지 위협 수위가 갈수록 거세지고 있습니다.

 

국내에서 암약하는 대표적인 北 연계 사이버 위협 조직으로는 라자루스(안다리엘), 탈륨(김수키), 금성121(레드아이즈) 등이 있고, 기관이나 업체에 따라 조금씩 다르게 불리기도 합니다.

 

금성121 조직은 특정 국회의원을 포함해 유명인사의 휴대폰을 해킹해 개인 정보를 탈취한 바 있고, 대북 전문분야 단체의 홈페이지를 침해하거나, 가짜 페이스북 계정 등을 만들어 북한 분야 종사자들을 지속적으로 노리고 있습니다. 특히, 모바일이나 이메일로 마치 지인이나 업계 전문가 인척 연락하는 경우가 많으므로 어떤 이유라도 APK, DOC 문서 등을 보내올 경우 반드시 발신자와 직접 통화해 사실여부를 확인하고 열람하는 것이 안전합니다. 

 

새롭게 발견된 악성 파일을 백신 프로그램 알약(ALYac)에서 탐지할 수 있도록 Trojan.Downloader.DOC.Gen 탐지명으로 긴급 업데이트를 완료하였으며, 피해 확산 방지를 위한 대응 조치를 관련 부처와 긴밀하게 협력중입니다.

 

현재 이스트시큐리티는 '금성121' 그룹의 다양한 위협 사례와 침해지표(IoC) 정보 등을 보다 체계화하여 'Threat Inside' 서비스를 통해 상세히 제공하고 있습니다.

 

 

관련글 더보기

댓글 영역