北 해킹 조직의 언론사 위장 스피어 피싱 공격 주의!

 

 

국내 유명 언론사의 직원으로 위장하여 비영리 민간 정책 연구소 소속의 특정인을 타깃으로 한 스피어 피싱 공격이 발견되어 주의가 필요합니다. 

 

이번 공격은 국내 언론사로부터 칼럼 작성 요청을 받은 피해자가 원고를 제출한 후, 언론사 담당자를 사칭한 회신 메일에 악성코드가 첨부되어 전달되는 방식으로 이루어졌습니다.  

공격자는 정상적인 업무 메일 흐름을 악용해 피해자의 신뢰를 얻고, 악성 파일을 실행하도록 유도한 것으로 분석됩니다. 

 

[그림 1] 공격에 사용된 언론사 회신 이메일

 

이메일 본문에는 대용량 첨부파일 형태의 다운로드 링크가 포함되어 있으며, 피해자가 이를 클릭할 경우 ZIP 포맷의 압축 파일이 다운로드 됩니다. 

 

공격자는 탐지 회피를 위해 국내 포털사이트 메일 서비스에서 제공하는 대용량 첨부파일 링크를 활용하였고, 압축 파일에 암호를 설정하여 첨부한 것으로 확인됩니다. 

 

다운로드 된 압축파일에는 Chrome 브라우저 아이콘으로 위장한 LNK 파일이 존재합니다.

 

[그림 2] 다운로드 된 압축파일

 

피해자가 해당 LNK 파일을 정상파일로 오인하여 실행할 경우, 내부의 존재하는 파워쉘 코드가 동작되며, Base64로 인코딩된 데이터를 %TEMP% 폴더에 7hweuyd.ps1 파일명으로 저장 후 실행합니다. 

 

[그림 3] LNK 파일 내부 파워쉘 코드

 

[그림 4] 7hweuyd.ps1 파일 코드 화면

 

실행된 7hweuyd.ps1 파일은 공격자 서버(C2)에서 PDF 파일을 다운 받아 %TEMP% 폴더에 LNK 파일과 동일한 파일명으로 저장하여 실행합니다. 

 

다운로드 된 PDF 파일은 사용자의 의심을 피하기 위한 미끼 파일로 사용되었습니다. 

 

[그림 5] 미끼 파일로 사용된 PDF 파일

 

이와 동시에 백그라운드에서는 7hweuyd.ps1 파일 내부의 코드 일부를 추출하여 % AppData% 폴더에 chrome.ps1 파일명으로 저장합니다. 

 

이후 chrome.ps1 파일의 지속성 확보를 위해 매 30분마다 동작 하도록 “MicrorfteguesoftUpdata1logiveKentwuerwtySchule” 라는 이름의 스케줄러를 등록합니다. 

 

[그림 6] 등록된 스케줄러 화면

 

스케줄러의 의해 동작되는 chrome.ps1 파일은 공격자 서버(C2)에서 ofx.txt 파일을 다운 받아 %APPDATA% 폴더에 "temp.ps1" 파일명으로 저장 후 실행시키는 작업을 반복 수행합니다. 

 

[그림 7] chrome.ps1 코드 화면

 

스케줄러 등록이 끝난 후에는 다시 공격자 서버에서 onf.txt 라는 파일을 다운로드 한 뒤 %APPDATA% 폴더에 "system_first.ps1" 파일로 저장하고 실행합니다. 

하지만 분석 당시 해당 TXT 파일이 다운로드 되지 않아 최종 페이로드에 대한 분석은 진행되지 못했으나 기존에 확인된 유사한 공격사례에 비추어 볼 때 RAT(Remote Access Tool) 계열의 악성코드가 실행됐을 가능성이 높습니다. 

ESRC는 이번 공격방식을 분석한 결과, 해당 공격 방식이 북한 연계 해킹 조직인 ‘김수키(Kimsuky)’의 전형적인 공격패턴과 매우 높은 유사성을 보이는 것으로 확인했습니다.  
이에 따라 이번 공격을 김수키 조직의 소행으로 추정하고 있으며, 현재 추가적인 연관성 분석을 진행하고 있습니다. 

현재 알약에서는 해당 악성코드에 대해 Trojan.Agent.LNK.Gen, Trojan.PowerShell.Agent 로 탐지 중에 있습니다. 

 

Ioc

F9221D81B6C672EBEBD2E1A1F59AD1CC 
08EA68FBA0A2BED73B44D962712D0371  
8E6298C3B0ED49DC37CC4C9995F4A7C2