Home > 전체기사

北 평양과학기술대학 총장 사칭한 ‘CVE-2021-40444’ 취약점 공격

  |  입력 : 2021-11-11 15:16
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
평양과기대 총장 사칭, 두만강 유역 개발 문서로 둔갑한 최신 악성파일 배포 공격 포착
CVE-2021-40444 취약점을 사용한 작전명 ‘포세이돈(POSEIDON)’ 공격의 연장선
북 연계 해킹 조직 특정 구글 블로그를 통해 추가 악성 명령 거점 사용


[보안뉴스 원병철 기자] 11월 11일, 평양 과학기술대학 총장을 사칭한 北 연계 해킹 조직의 공격이 추가로 발견돼 각별한 주의가 당부된다. 통합 보안 기업 이스트시큐리티(대표 정상원)는 지난 9일 보도된 ‘北 탈륨, 韓 싱크탱크 사칭해 국방·안보 전문가 표적 공격’ 기사에서 설명한, 외교·안보·국방·통일 분야 전문가를 겨냥한 표적 공격과 마찬가지로 ‘CVE-2021-40444‘ 취약점이 동일하게 사용된 것으로 확인했다고 밝혔다.

▲CVE-2021-40444 취약점이 포함된 악성 문서파일 실행 화면[자료=이스트시큐리티]


현재 위협 조직이 해당 취약점을 적극적으로 사용하고 있어, MS오피스 사용자들은 최신 버전으로 즉각 업데이트해야 유사 공격 피해를 사전에 예방할 수 있다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)는 이번 공격을 분석한 결과 악성 파일 제작자가 꾸준히 ‘POSEIDON’ 계정을 사용하고 있으며, 이미 인터넷에 공개됐던 ‘CVE-2021-40444’ 취약점의 개념 증명(PoC) 코드를 일부 재활용한 정황도 발견했다고 밝혔다.

만약 공격 대상자가 MS오피스 최신 보안 업데이트를 설치하지 않은 상태에서 해당 DOCX 문서를 열어 보안 취약점이 작동되면 ‘officeversion.mywebcommunity[.]org’ 인터넷 주소로 은밀히 통신을 시도하고, 공격자가 지정한 추가 명령에 따라 악성 스크립트가 실행된다.

▲악성 문서가 연결을 시도하는 인터넷 주소 설정 화면[자료=이스트시큐리티]


악성 스크립트가 정상 작동되면, 다음 단계로 ‘msoffices.atwebpages[.]com’ 주소로 연결되고, 후속 명령에 따라 공격자가 개설한 특정 구글 블로그로 접속을 시도한다. 특히, 분석 환경 노출이나 탐지 회피 목적 등 일정부분 시차 간격을 두고 연결하는 치밀함도 보인다. 이후 블로그 게시글에 포함된 명령에 따라 사용자 컴퓨터 정보를 수집해 공격자 서버로 은밀히 전달하는 과정을 거친다.

ESRC는 지난번 공개한 싱크탱크 행사를 사칭해 국방·안보 분야 전문가를 공격한 것과 마찬가지로 이번 사례 역시 북한 정찰총국 연계 해킹 조직 소행으로 최종 분류했으며, ‘POSEIDON’ 계정이 동일하게 사용된 것을 확인했다.

배후로 지목된 북한 사이버 위협 조직이 ‘CVE-2020-9715‘, ‘CVE-2021-40444’ 등 맞춤형 표적 공격에 PDF, DOC 파일과 같은 문서 기반 보안 취약점을 적극 도입하고 있어 기관 및 기업 보안 관계자들은 최신 업데이트가 유지될 수 있도록 보안 정책 관리가 중요한 시점이다.

이스트시큐리티 ESRC 관계자는 “국내에서 최신 보안 취약점을 이용한 APT 공격이 지속적으로 포착되고 있어 사용 중인 운영체제와 응용프로그램은 항상 최신 버전으로 유지하는 노력이 필요하다”며, “특히, 대북 분야 종사자들은 일상적으로 북한의 사이버 공격을 받을 수 있다는 경각심을 가져야 한다”고 주의를 당부했다.

이스트시큐리티는 새롭게 발견된 악성 파일의 탐지 기능을 알약(ALYac) 제품에 긴급 업데이트했으며, 피해 확산 방지를 위한 대응 조치를 한국인터넷진흥원(KISA) 등 관련 부처와 긴밀하게 협력하고 있다고 밝혔다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화