[단독] 외교부 재외공관 근무자 노린 것으로 보이는 ‘탈륨 APT 공격’ 발견

  |  입력 : 2021-04-22 11:21
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
‘2021년 외교부 재외공관 복무관련 실태 조사’ 이름의 악성파일 발견
스크립트 방식의 파일 Hwp로 위장...클릭하면 악성코드 설치하고 정보탈취
지난해 카이스트와 코로나 제약사 공격했던 블루 에스티메이트 캠페인 추정


[보안뉴스 원병철 기자] 외교부 재외공관 근무자를 대상으로 한 것으로 보이는 악성파일이 발견돼 관련자들의 주의가 요구된다. 21일 발견된 ‘2021년 외교부 재외공관 복무관련 실태 조사’란 이름의 악성파일은 스크립트 방식의 파일을 HWP 파일로 위장했으며, 실행하면 실제 HWP 문서와 함께 명령제어 서버와 통신해 사용자의 정보탈취를 시도한다.

▲외교부 재외공관 복무관련 실태조사 설문지로 위장한 악성파일[이미지=ESRC]


이번에 발견된 악성파일 문서는 외교부 재외공관 복무자를 대상으로 한 설문지를 위장하고 있다. 이 때문에 보안전문가들은 이번 공격이 재외공관 복무 경험이 있는 외교부 전현직 직원을 대상으로 한 것으로 보고 있다. 다만, 공격에 사용된 이메일이 발견된 것은 아니어서 현재로서는 추측 단계다.

악성파일을 실행하면 스크립트 명령이 작동하고 내부에 숨겨져 있던 dll과 정상 HWP가 실행된다. 정상적으로 실행된 설문지는 기본 개인내역과 근속연수, 해외근무 장소, 성희롱 예방교육 관련 질문내용이 담겨 있어, 사용자는 공격을 받았다는 사실을 알기 어렵다. 이번 공격에 사용된 악성파일은 ‘onedrive-upload.ikpoo[.]cf’ 명령제어 서버와 통신을 시도해 정보탈취를 시도한다.

특히, 몰래 설치된 악성 dll 모듈은 일부 문자열들이 고유 암호화 방식으로 난독화되어 있는데, 이는 북한의 지원을 받는 것으로 추정되는 탈륨(Thallium)의 블루 에스티메이트 캠페인과 일치한다. 또한, 명령제어 서버 주소는 새로 만든 것으로 보이나 사용하는 도메인 스타일은 과거 공격에서 이용한 것과 비슷하다. 탈륨은 지난 2019년 미국 MS가 고소하면서 알려진 해킹그룹으로, 보안전문가 사이에서는 김수키(Kimsuky)와 연관이 있는 것으로 보고 있다.

블루 에스티메이트 캠페인은 보안기업 이스트시큐리티의 ESRC(시큐리티대응센터)가 분석한 탈륨의 대표적인 APT(지능형 지속위협) 캠페인으로, 2019년 12월 청와대 녹지원과 상춘재 행사 견적서를 사칭한 APT 공격을 비롯해 주로 방위산업체, 외교안보분야 전문가, 비트코인 거래소, 코로나 백신 국내 제약사, 국립 특수대학 등을 공격한 것으로 알려졌다.

ESRC 문종현 센터장은 “최근 탈륨, 라자루스 등 북한 당국과 연계된 APT 조직의 대남 사이버위협 활동이 급증하고 있어 각별한 주의가 필요한 시기”라고 조언했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)