Home > 전체기사
한국의 해킹 그룹 히개사, 협업 플랫폼 제플린에서 악성 파일 퍼트려
  |  입력 : 2020-06-09 09:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
3월에 코로나 관련된 내용으로 피싱 공격 하더니...이제는 협업 플랫폼 노려
악성 LNK 파일과 PDF 파일 사용...히개사, 해외에서는 정부 지원 받는 단체로 여겨


[보안뉴스 문가용 기자] 한국의 해킹 그룹으로 알려진 히개사(Higaisa)가 제플린(Zeplin)이라는 협업 플랫폼에 악성 LNK 파일들을 퍼트리는 공격을 실시하고 있다는 경고가 나왔다. 히개사는 최소 2016년부터 활동해온 것으로 알려져 있으며, 작년에 그 정체가 상세히 공개된 바 있다. 정부 지원 해커로 분류되며, 고스트(Gh0st)나 플러그엑스(PlugX)와 같은 트로이목마를 사용해 정부 사이트나 인권 단체를 주로 노린다.

[이미지 = utoimage]


지난 수 주 동안 히개사는 다단계 사이버 공격을 실시해 가짜 PDF 문서와 악성 스크립트, 악성 페이로드를 여러 시스템에 배포했다. 1단계 감염에서 이들이 사용한 건 LNK 파일이다. 스피어피싱 공격을 통해 피해자들에게 전달되는 아카이브 내에 포함되어 있다. 이 스피어피싱 공격은 5월 12일과 31일 사이에 주로 이뤄졌으며, Project link and New copyright policy.rar 파일과 CV_Colliers.rar이라는 아카이브 파일을 첨부하고 있었다.

이 중 Project link and New copyright policy.rar 아카이브에는 두 개의 LNK 파일과 한 개의 PDF 문서가 포함되어 있으며, 전부 제플린 플랫폼과 연결되어 있다. 두 번째 rar 파일은 제플린에 대한 언급이 없는 것으로 나타났다.

보안 업체 프리베일리온(Prevailion)에 따르면 히개사는 공격을 시작하기 전 최소 1주일 동안의 준비 기간을 가졌다고 알렸다. 왜냐하면 가짜 PDF 파일의 생성일이 5월 5일이었기 때문이다. 공격에 사용되는 나머지 악성 파일들은 그 후에 순차적으로 만들어진 것으로 나타났다. 악성 LNK 파일들은 5월 11일, 즉 피싱 메일이 피해자들에게 도착하던 그 날에 만들어졌다. Project link and New copyright policy.rar 파일은 바로 다음 날 바이러스토탈(VirusTotal)에 제출됐고, 공격에 활용된 도메인이 차단된 것은 5월 16일의 일이다.

한 동안 휴식을 취한 히개사는 5월 30일 다시 나타났다. 이번에는 이력서로 위장한 악성 아카이브(CV_Colliers.rar)가 동원됐다. 홍콩의 왕 레이(Wang Lei)라는 대학생이 보낸 것으로 꾸며진 이력서였다. 이 아카이브 안에도 악성 LNK 파일들이 저장되어 있었다.

이 두 번째 공격의 경우 보안 업체 멀웨어바이츠(Malwarebytes)에 탐지되기도 했다. 멀웨어바이츠는 이 가짜 이력서 아카이브에 저장된 LNK 파일들이 “여러 가지 명령들을 실행하도록 만들어졌다”고 발표했다. 또한 이 명령들이 “지난 3월 보안 업체 아노말리(Anomali)가 발표한 사이버 공격에 관한 보고서에 등장하는 것과 동일하다”고 덧붙였다. 당시 아노말리는 코로나와 관련된 사이버 공격에 대해 보고서를 발표했었다.

이러한 공격을 통해 히개사는 현재 유행하거나 논란이 되는 화젯거리를 공격에 적극 활용할 줄 안다는 사실을 드러냈다. 코로나는 물론 재택 근무자 증가로 인한 협업 툴의 인기도 활용했고, 이력서와 저작권에 대한 내용까지 공격에 담아냈기 때문이다. 프리베일리온 역시 “여러 가지 증거와 정황을 분석했을 때 지난 3월에 보고된 공격과 이번 피싱 캠페인이 같은 해커들에 의해 자행되었다는 결론을 내렸다”고 한다.

구글 트렌드 분석에 의하면 제플린은 현재 미국과 영국, 인도에서 인기가 높은 것으로 나타나고 있다. 히개사의 공격 표적에 대한 정보는 이것 외에 아무 것도 없으며, 프리베일론 역시 “미국과 영국, 인도를 노린 공격일 가능성이 희미하게 있다는 것 정도만 알 수 있다”고 설명했다.

공격 단체들에 대한 온라인 백과사전인 말피디아에 의하면 히개사는 북한과 관련된 단체들을 주로 공격하며, 중국, 북한, 일본, 네팔, 싱가포르, 러시아, 폴란드, 스위스에서 피해 사례가 발견된 바 있다고 한다. 북한 공휴일이나 기념일과 관련된 내용의 미끼를 피싱 공격에 자주 사용한다. 보안 업체에 따라 히개사를 중국의 APT 그룹으로 보기도 한다.

3줄 요약
1. 한국의 정부 지원 해킹 단체로 알려진 히개사, 제플린 플랫폼에서 공격 실시.
2. 5월에 2차례에 걸쳐 대대적인 피싱 캠페인 진행해 악성 LNK 파일과 PDF 파일을 퍼트림.
3. 아직 뚜렷한 공격 표적이나 목표에 대해서는 알려진 바 없음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상