Home > 전체기사
[긴급] ‘여연’ 사칭 北 추정 해커조직, 한국당 의원 타깃 악성메일 유포
  |  입력 : 2019-07-02 22:57
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
북한 추정 해킹그룹 금성121, 한국당 산하조직 여의도연구원 사칭해 피싱 공격
7월 2일 악성메일 유포...자유한국당 소속 의원실에 대거 발송된 것으로 추정


[보안뉴스 원병철 기자] 북한으로 추정되는 정부의 지원을 받는 것으로 알려진 해킹그룹 ‘금성121’이 7월 2일 자유한국당 산하 연구기관인 ‘여의도연구원(여연)’을 사칭해 악성 메일을 보낸 사실이 확인됐다. 이스트시큐리티 시큐리티대응센터(ESRC)는 안보관련 연구위원이 작성한 문서처럼 사칭해 APT 공격이 수행된 정황이 포착됐다고 밝혔다.

▲악성 문서가 실행된 후 보이는 화면[자료=ESRC]


‘190701 (현안보고 2019-07) 北의 우리당에 대한 정치공작과 대책’이란 이름의 한글파일(.hwp)이 첨부된 이번 공격은 지난 6월 중순 금성 121이 저지른 것으로 확인된 ‘북한의 선교학교 신청서’로 위장한 APT 공격과 같은 공격으로 보인다고 ESRC는 설명했다.

금성121은 북한으로 추정되는 정부의 지원을 받는 공격그룹으로 지난 4월 통일부 기자단을 노린 공격 등 주로 대북관련 인사들을 노린 공격을 자행해 왔다. 이 공격그룹은 분석그룹에 따라 금성121(Geumseong121, 이스트시큐리티), 레드 아이즈(Red Eyes, 안랩), 그룹 123(Group 123, 시스코), 스카크러프트(ScarCrurf, 카스퍼스키), APT37(파이어아이), 리퍼(Reaper, 팔로알토), 물수제비 천리마(Ricochet Chollima, 크라우드스트라이크) 등으로 불린다.

물론 분석한 기업과 분석가에 따라 세세한 사항은 조금씩 다르며, 특히 크라우드스트라이크는 라자루스가 4개의 그룹으로 이뤄져 있으며, 물수제비 천리마는 그 중 하나라고 주장하고 있다.

ESRC는 이번 공격에 사용된 문서가 2019년 7월 2일 ‘A’라는 계정에서 마지막으로 수정됐으며, 실행되면 ‘北의 우리당에 대한 정치공작과 대책’이란 한글파일이 보인다고 설명했다.

▲난독화된 포스트 스크립트 화면[자료=ESRC]


한글 파일 속에 심겨진 악성 파일은 2019년 7월 2일 제작됐으며, 드롭박스 토큰을 통해 명령제어(C&C) 서버와 통신을 수행한다고 설명한 ESRC는 다만 분석이 진행되던 과정에는 정상적으로 통신이 진행되지 않았다고 밝혔다.

ESRC는 최근 들어 정부후원을 받는 것으로 알려진 위협사례가 지속되고 있어 각별한 주의가 필요하다면서, 이번 APT 공격은 HWP 취약점이 제거된 최신 한컴오피스 조건에서는 감염되지 않으므로 항시 최신 버전으로 유지하는 것이 무엇보다 중요하다고 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)