국회입법조사처 사칭하여 '국방·외교·안보'분야 교수 해킹을 시도하는 北 연계 해킹공격 주의!

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

국회입법조사처를 사칭하여 '국방·외교·안보'분야 교수를 대상으로 진행중인 해킹 공격이 발견되어 관련자들의 각별한 주의가 필요합니다. 

 

 

[그림 1] 수신자의 회신을 유도하는 피싱 메일

이번 공격은 '국회입법조사처 자문 요청' 의 제목으로 국방·외교·안보·정치분야에서 활동하고 있는 불특정 다수의 교수들에게 발송되었습니다. 

해당 메일은 어떠한 악성행위도 하지 않으며, 단순히 수신자의 회신을 유도하여 공격 대상을 물색하는 역할을 합니다. 

메일을 수신한 교수들 중에서 회신을 한 교수들만이 실제 공격 타깃이 되며, 공격자로부터 악성파일이 첨부된 이메일을 추가로 전달받습니다. 

피싱 메일에는 '자문요청서.docx' 제목의 파일이 첨부되어 있으며, 만일 수신자가 해당 첨부파일을 클릭하면 공격자가 구축한 피싱 사이트로 접속됩니다. 

 

 

[그림 2] 대용량 파일 다운로드 페이지를 위장한 피싱 사이트

피싱 사이트는 대용량 파일 다운로드 페이지를 위장하고 있으며, 피해자로 하여금 피싱 페이지 내 다운로드 버튼을 클릭하도록 유도합니다. 

 

 

[그림 3] 계정 탈취를 시도하는 피싱 페이지

만약 피해자가 다운로드 버튼을 클릭하면 피해자 계정정보 입력을 유도하는 피싱 페이지로 이동시켜 계정정보 탈취를 시도합니다. 

 

 

[그림 4] 공격 완료 후 보여주는 정상 문서

만일 피해자가 계정정보를 입력하면 입력한 계정정보는 공격자 서버로 전송되며, 정상적인 워드파일을 내려줌으로써 피해자로 하여금 해킹공격임을 인지하지 못하도록 합니다. 

이번 공격에 사용된 서버 118.36.192[.]211은 nca.naverccrp[.]com, xn--nid-mo0a[.]naverccrp.com, m.naverccrp[.]com 등 여러번 일반 사용자들 대상으로 진행된 피싱 공격에도 악용된 적이 있는 것으로 확인되었습니다. 

北 소행으로 지목된 사이버 안보위협은 외교·안보·국방 분야의 관계자들을 대상으로 은밀하게 지속되고 있어 관련 사용자들의 각별한 주의가 요구됩니다.

한편, 이스트시큐리티 ESRC는 이와 관련된 사이버 위협 정보를 한국인터넷진흥원(KISA) 등 관계 당국과 긴밀히 공유해 기존에 알려진 위협이 확산되지 않도록 협력을 유지하고 있습니다.

 

C2

118.36.192[.]211