北 김수키, 코인관련 내용의 워드 문서를 이용한 APT 공격중

동일한 매크로 활용한 문서 3종 발견... 물류, 쇼핑, 가상자산 사업자 공격 수행

[보안뉴스 원병철 기자] 미국이 북한의 해킹그룹으로 지목한 김수키(Kimsuky) 그룹이 코인관련 내용의 워드 문서로 APT 공격을 수행중인 것을 안랩 ASEC 분석팀이 확인했다고 밝혔다. 공격에 사용된 미끼 문서는 총 3건이 확인됐으며, 매크로 제작자 및 동작방식은 지난 3월 14일에 발견됐던 제품소개서 위장 악성 워드 문서와 동일하다.

▲좌측부터 순서대로 주주물량관련.doc, 자산부채현황.doc, 제3차 정기총회.doc[자료=안랩]

확보된 3개 문서 모두 동일한 매크로를 사용했으며, 지난 제품소개서 위장 악성 워드문서에서 발견됐던 ‘temp.doc’ 매크로 코드와 기능이 일치했다. ‘no1.bat’ 파일을 생성하는 주체는 수집된 문서 파일이 아닌 다른 문서에 의해 생성된 것으로 추정된다. 이는 매크로 사용 버튼 클릭을 유도하는 문서의 매크로에 의해 생성된 것으로 보인다.

결과적으로 제품소개서로 위장한 악성 워드 문서의 유포 방식과 이번 사례의 유포 및 동작 방식은 완전히 일치했다. 따라서 해당 공격 그룹은 현재 물류, 쇼핑뿐만 아니라 가상자산 사업자에도 공격을 수행하고 있는 것으로 보인다.

사용자는 출처가 불분명한 워드 파일 실행 시 ‘콘텐츠 버튼’ 같은 문구가 확인될 경우 악성 워드 문서일 가능성이 있으므로, 콘텐츠 사용 버튼을 클릭하는 데 각별한 주의가 필요하다.
[원병철 기자(boanone@boannews.com)]

보안전문 기자들이 뽑은 2023년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
	보안에서 진짜 ‘핫’한 제로트러스트와 공급망 보안
	전문화, 분업화로 더욱 심해지는 랜섬웨어 공포
	2023년 클라우드 생태계를 위협할 다양한 보안이슈들
	전 국민이 사용하는 스마트폰, 2023년 해커의 집중 타깃
	피싱 공격, 새로운 서비스형 위협 ‘PhaaS’로 더 악랄해지다
	2022년 말에 터진 서명키 탈취사건, 2023년의 서막에 불과하다
	밀집도 모니터링, 지능형 CCTV와 영상분석 트렌드 주도
	주 52시간 근무제 달라지나? 정부 정책 따라 출입·근태 인증 보안 시장 요동
	메타버스, 주목받는 만큼 증가하는 보안위협
	스마트농업 육성 본격화, 보안과 안전 기반 하에 추진돼야