외교부의 가판 뉴스? 알고보니 北 추정 탈륨의 악성메일

  |  입력 : 2021-05-07 16:54
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
외교부 가판 뉴스 내용으로 위장한 이메일 해킹 공격 주의
북한 연계 해킹 조직 ‘탈륨(Thallium)’, ‘블루 에스티메이트 캠페인’ 공격으로 재등장
외교부 뉴스 가판 ‘오늘의 주요뉴스’ 내용으로 사칭한 악성 파일 전달
마치 이스트소프트 업데이트 파일처럼 위장한 64비트 악성 DLL 파일 설치… 원격제어 시도


[보안뉴스 원병철 기자] 최근 외교부에서 발행한 것처럼 위장한 악성 파일이 발견되어, 관련자들의 각별한 주의가 필요하다. 보안 전문 기업 이스트시큐리티(대표 정상원)의 시큐리티대응센터(이하 ESRC)는 해당 공격을 수행한 배후 세력으로, 북한 정부와 공식적으로 연계된 것으로 알려진 해킹조직 ‘탈륨(Thallium)’을 지목했다.

▲외교부 대변인실 표지의 가판 뉴스 내용을 사용한 정상 PDF 파일[자료=이스트시큐리티]


이번 공격은 과거 탈륨 조직이 수행한 ‘블루 에스티메이트(Blue Estimate)’ 캠페인과 높은 유사성을 보이며, 지난 4월에 발견된 ‘2021년 외교부 재외공관 복무 관련 실태 조사’를 사칭한 악성 이메일 공격의 연장선에 있는 것으로 의심된다고 ESRC는 설명했다.

새롭게 발견된 이번 악성 파일은 2021년 5월 7일 날짜로 발행된 외교부 대변인실 표지의 가판 뉴스 내용이 담긴 정상 PDF 파일 내용을 사용해, 이메일 수신자의 의심을 최소화한 점이 특징이다.

▲이스트소프트의 업데이트 파일로 위장한 파일[자료=이스트시큐리티]


악성 파일 안에는 Base64로 인코딩된 데이터와 스크립트가 들어있고, 이 파일을 실행하면 C:\ProgramData\ 경로에 ‘외교부 가판 2021-05-07.pdf’, ‘glK7UwV.pR9a’, ‘efVo8cq.sIhn’ 파일이 설치된다. 생성된 ‘glK7UwV.pR9’a파일은 C:\ProgramData\Software\ESTsoft\Common\ 경로에 마치 이스트소프트에서 배포한 업데이트 파일처럼 위장한 64비트 악성 DLL 파일을 추가하고 호출한다.

이때 악성 DLL 파일은 감염 시스템의 정보 전송 및 명령 제어 기능을 수행하며, 재부팅 시에도 해당 파일이 자동 실행되도록 레지스트리 자동실행 항목에 등록하는 과정을 거친다. 이후 명령 제어(C2) 서버에 ‘texts.letterpaper[.]press’ 주소로 감염 시스템 정보를 유출시키며, 공격자 의도에 따라 다양한 원격 제어를 시도한다. 이는 과거 탈륨 조직이 수행했던 ‘블루 에스티메이트’ 캠페인에서 사용된 악성 파일 기능과 동일하며, 특히 내부 문자열 암호화 방식이 해당 캠페인과 정확히 일치한다.

▲레지스트리 자동 실행 등록[자료=이스트시큐리티]


이스트시큐리티 ESRC센터장 문종현 이사는 “최근 국내 포털 업체 고객센터를 사칭하거나 악성 문서 파일을 첨부한 스피어 피싱 공격이 기승을 부리고, 워터링 홀 공격, 안드로이드 스마트폰 이용자 대상의 공격까지 가세하고 있는 상황”이라며, “특히 북한 당국과 연계된 것으로 널리 알려진 탈륨과 라자루스, 금성121 조직의 사이버 공격 수위가 동시에 증대되고 있어 유사 위협에 노출되지 않도록 민관의 각별한 주의와 관심이 요구된다”고 강조했다. 이어 문 이사는 “수신된 이메일 발신지의 진위 여부를 꼼꼼히 살펴보고, 첨부된 파일이나 본문에 포함된 URL 주소 접근에 각별한 주의가 필요하다”고 당부했다.

한편, 이스트시큐리티는 새롭게 발견된 악성 파일을 백신 프로그램 ‘알약(ALYac)’에 긴급 추가했으며, 후속 대응 조치를 관련 부처와 긴밀하게 진행하고 있다고 밝혔다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)