Home > 전체기사

北 탈륨, 故 노태우 전 대통령 조문 ‘네이버 뉴스’ 사칭한 해킹 공격

  |  입력 : 2021-10-28 08:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
고(故) 노태우 전 대통령 조문 네이버 뉴스로 위장한 이메일 피싱 공격 시도
이메일 본문 [뉴스 바로 가기] 접근 시 위협 조직이 구축한 해킹 서버와 은밀한 통신
탈륨, DOC 매크로 악성파일과 PDF 취약점 등으로 APT 공격 이력 보유


[보안뉴스 원병철 기자] 고(故) 노태우 전 대통령의 조문과 관련한 네이버 뉴스로 위장한 이메일 피싱공격이 발견됐다. 통합 보안기업 이스트시큐리티(대표 정상원)는 28일, 대표적인 北 연계 해킹 그룹으로 알려진 ‘탈륨’의 새로운 APT 캠페인 해킹 공격이 포착돼 각별한 주의를 당부했다.

▲네이버 뉴스로 위장한 해킹 공격 이메일 화면[자료=이스트시큐리티]


이번 공격은 이메일에 악성 파일을 첨부해 보내는 전형적인 스피어 피싱(Spear Phishing) 공격 기법과 다르게, 마치 최근 있었던 시사 정치 뉴스처럼 가장해 본문의 URL 링크주소 클릭을 유도하는 사회공학적 피싱 수법이 쓰였다.

먼저 위협행위자는 북한 분야에서 활동하는 대북 전문가들을 주요 표적 삼아 이번 공격을 수행했고, 마치 고(故) 노태우 전 대통령의 법적 사위인 최태원 회장이 서울대병원 장례식장에 위치한 빈소를 찾아 조문하고 미국 출장길에 오른다는 네이버 뉴스처럼 위장해 수신자의 경계심을 낮추고 접근하는 치밀함을 보였다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)의 확인결과 해당 공격에 사용된 문구와 조작된 가짜 사이트 화면은 실제 모 언론사의 실제 뉴스 내용을 그대로 무단 인용한 것으로 확인됐다.

공격에 사용된 이메일은 보낸 사람과 주소가 ‘네이버 뉴스’로 조작됐고, 실제 발신지는 불가리아 이메일 서비스인 ‘mail.bg’인 것으로 밝혀졌는데, 해당 서비스는 북한과 연계된 사이버 위협 조직이 그동안 여러 차례 사용한 바 있다. 그리고 이메일을 자세히 살펴보면 ‘.com 도메인’이 아니라 ‘.corn’ 알파벳으로 교묘히 발신지를 위장한 사실도 알 수 있다.

▲가짜 네이버 뉴스를 보여주는 화면[자료=이스트시큐리티]


해킹 이메일 본문에는 ‘뉴스 바로 가기’ 링크가 2개 포함돼 있고, 모두 ‘nid.livelogin365.in[.]net’이라는 해외 서버로 접속을 유도한다. 이때 해당 주소로 접근된 사용자의 IP 주소 및 웹 브라우저 등 일부 정보가 노출될 가능성이 있고, 공격자의 의도에 따라 추가 악성 파일이 설치되는 위험성이 존재한다. 이후 ‘nnews.naver-con.cloudns[.]cl’ 주소로 이동시켜 실제 뉴스 내용처럼 위장한 가짜 화면을 보여주게 된다.

그동안 북한 정찰총국과 연계된 것으로 널리 알려진 동일 위협 행위자들은 악성 매크로(Macro) 명령을 삽입한 DOC, XLS 문서나 PDF 취약점(CVE-2020-9715) 공격을 주로 사용했는데, 이번에는 이메일 본문에 가짜 링크를 넣어 클릭 유무를 체크하고 외부에 위협 행위가 감지되는 것을 최소화하기 위한 정찰 단계가 관측된 점이 주목된다.

ESRC 분석에 의하면, 이번 공격의 배후는 미국 마이크로소프트(MS)사에서 명명한 북한 연계 해킹 그룹 일명 ‘탈륨’ 조직의 소행으로 지목됐고, 대북 분야 활동가를 겨냥한 페이크 스트라이커 캠페인 일환으로 드러났다.

이번 공격의 발신지와 명령제어(C2) 서버 주소, 위협 행위자가 사용한 과거 악성파일 코드 유사도 등을 종합적으로 분석한 결과, 해당 조직의 고유한 활동 공통점을 확인했고 이들의 위협 수위가 갈수록 거세지고 있다고 밝혔다.

이스트시큐리티 ESRC센터장 문종현 이사는 “사회적으로 관심이 집중된 실제 뉴스를 활용해 수신자로 하여금 호기심을 유발하고, 악성 링크에 접근하도록 유인하는 지능적인 해킹 수법으로 북한 분야 종사자들을 지속적으로 노리고 있다”며, “특히, 외교·안보·국방·통일 및 대북 분야 전문가들은 평소 보지 못했던 발신자나 뜬금없이 도착한 이메일은 항상 주의하는 것이 안전하다”고 당부했다.

이스트시큐리티는 새롭게 발견된 악성 피싱 주소의 긴급 업데이트를 완료했으며, 피해 확산 방지를 위한 대응 조치를 관련 부처와 긴밀하게 협력하고 있다고 밝혔다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)