이스트시큐리티 ESRC, ‘페이크 스트라이커’ APT 공격 캠페인 경고
통일 관련 기관·학회 사칭해 악성코드 삽입한 첨부문서 이메일로 전송
[보안뉴스 권 준 기자] 글로벌 IT 기업 마이크로소프트(MS)가 지난해 12월 해킹 혐의로 미국 버지니아주 연방법원에 고소한 북한 추정 해커조직 ‘탈륨(Thallium)’이 우리나라를 타깃으로 APT 공격 캠페인을 지속적으로 펼치고 있다는 분석이 나왔다.
[이미지=utoimage]
보안 전문업체 이스트시큐리티의 ESRC(시큐리티대응센터)는 국내 통일관련 기관을 사칭해 수행되는 이른바 ‘페이크 스트라이커(Fake Striker) 위협 캠페인’ 배후가 지난해 말 미국 법원에 고소장이 제출된 ‘탈륨’ 조직과 직·간접 연계 가능성이 높은 것으로 판단하고 있다고 밝혔다.
MS는 2019년 12월 18일 일명 ‘탈륨’ 조직을 상대로 버지니아주 연방법원에 고소장을 제출하고, 12월 30일 관련 내용을 MS 공식 블로그에 공개한 바 있다. MS는 블로그를 통해 탈륨은 주로 정부부처 공무원과 싱크탱크 연구원, 대학 교직원, 인권 단체와 회원 등을 공격 대상으로 삼았다고 밝혔다.
한국에서도 이와 유사한 형태의 사이버공격이 꾸준히 이어지고 있는 상황이다. 해당 조직은 현재도 활발하게 사이버공격을 수행하고 있는데, 한국내 주요 기관이나 학회 관계자 등으로 위장해 공격을 집중하고 있는 것으로 분석됐다. 특히, 한국에선 정치·외교·안보·통일·국방 분야 전·현직 관계자를 포함해 주요기관 자문위원으로 활동하는 교수진과 북한 전문 취재기자들이 주요 공격 대상이 되고 있는 것으로 드러났다. 여기에다 탈북민, 대북 연구 분야 및 북한 인권 단체 종사자 등도 주 타깃이 되고 있는 것으로 알려졌다.
특히, 한국을 대상으로 공격할 때는 국내에서 많이 이용하는 한글(hwp), 워드(doc) 등의 문서 파일 내부에 악성코드를 삽입한 후, 감염 대상자별 이메일로 직접 전달하는 수법을 사용하고 있다.
더욱이 실제 공격자는 특정인의 이메일 접속권한을 무단 해킹해 감시하고 있다가, 발송 취소 기능으로 수신되기 전 이메일을 강제 취소하고, 동일한 이메일 본문에 첨부 파일만 악성으로 바꿔치기 한 후, 재발송하는 고도로 발전된 공격도 감행한 바 있는 것으로 드러났다.
▲지난 1년간 시계열 기반 실제 위협 사례 분석[자료=이스트시큐리티 ESRC]
이스트시큐리티 ESRC에서는 2019년 7월부터 2020년 7월까지 약 1년간의 공격자 흐름을 타임라인으로 관찰한 결과를 발표했다. 특이한 점은 해당 APT 공격조직이 2019년 7월에 사용한 명령제어(C&C) 서버를 1년이 지난 2020년 7월에도 동일하게 사용하고 있다는 점이다. 또한, 악성 hwp, doc 문서와 함께 2중 확장자로 눈속임 기법을 활용한 exe 실행 파일 공격도 복합적으로 사용하고 있다는 점이다.
이와 관련 ESRC 측은 “업무상 특별히 보안이 중요한 사람들은 이메일 접근에 각별한 주의가 요구된다”며, “지인 사이라도 평소 자주 연락이 없었거나 사전에 통보 없이 전달받은 문서나 인터넷 URL 링크 주소는 다소 번거롭더라도 반드시 발신자에게 직접 확인 후 열람하는 것이 안전하다”고 밝혔다.
이어 “이들이 수행 중인 ‘페이크 스트라이커’ APT 캠페인을 보다 상세히 관찰 연구 중이며, 일반 사이버범죄 수위를 넘어 국가간 사이버안보 차원의 수준으로 그 중요성을 무겁게 인식하고 있다”며, “특정 정부가 연계된 APT 조직들에 대한 위협이 어느 때보다 고조되는 지금, 보다 체계화된 분석 및 대응이 요구되는 동시에 민관 위협 인텔리전스 차원의 협력과 투자가 무엇보다 중요한 시점”이라고 ESRC 측은 강조했다.
[권 준 기자(editor@boannews.com)]
통일 관련 기관·학회 사칭해 악성코드 삽입한 첨부문서 이메일로 전송
[보안뉴스 권 준 기자] 글로벌 IT 기업 마이크로소프트(MS)가 지난해 12월 해킹 혐의로 미국 버지니아주 연방법원에 고소한 북한 추정 해커조직 ‘탈륨(Thallium)’이 우리나라를 타깃으로 APT 공격 캠페인을 지속적으로 펼치고 있다는 분석이 나왔다.
[이미지=utoimage]
보안 전문업체 이스트시큐리티의 ESRC(시큐리티대응센터)는 국내 통일관련 기관을 사칭해 수행되는 이른바 ‘페이크 스트라이커(Fake Striker) 위협 캠페인’ 배후가 지난해 말 미국 법원에 고소장이 제출된 ‘탈륨’ 조직과 직·간접 연계 가능성이 높은 것으로 판단하고 있다고 밝혔다.
MS는 2019년 12월 18일 일명 ‘탈륨’ 조직을 상대로 버지니아주 연방법원에 고소장을 제출하고, 12월 30일 관련 내용을 MS 공식 블로그에 공개한 바 있다. MS는 블로그를 통해 탈륨은 주로 정부부처 공무원과 싱크탱크 연구원, 대학 교직원, 인권 단체와 회원 등을 공격 대상으로 삼았다고 밝혔다.
한국에서도 이와 유사한 형태의 사이버공격이 꾸준히 이어지고 있는 상황이다. 해당 조직은 현재도 활발하게 사이버공격을 수행하고 있는데, 한국내 주요 기관이나 학회 관계자 등으로 위장해 공격을 집중하고 있는 것으로 분석됐다. 특히, 한국에선 정치·외교·안보·통일·국방 분야 전·현직 관계자를 포함해 주요기관 자문위원으로 활동하는 교수진과 북한 전문 취재기자들이 주요 공격 대상이 되고 있는 것으로 드러났다. 여기에다 탈북민, 대북 연구 분야 및 북한 인권 단체 종사자 등도 주 타깃이 되고 있는 것으로 알려졌다.
특히, 한국을 대상으로 공격할 때는 국내에서 많이 이용하는 한글(hwp), 워드(doc) 등의 문서 파일 내부에 악성코드를 삽입한 후, 감염 대상자별 이메일로 직접 전달하는 수법을 사용하고 있다.
더욱이 실제 공격자는 특정인의 이메일 접속권한을 무단 해킹해 감시하고 있다가, 발송 취소 기능으로 수신되기 전 이메일을 강제 취소하고, 동일한 이메일 본문에 첨부 파일만 악성으로 바꿔치기 한 후, 재발송하는 고도로 발전된 공격도 감행한 바 있는 것으로 드러났다.
▲지난 1년간 시계열 기반 실제 위협 사례 분석[자료=이스트시큐리티 ESRC]
이스트시큐리티 ESRC에서는 2019년 7월부터 2020년 7월까지 약 1년간의 공격자 흐름을 타임라인으로 관찰한 결과를 발표했다. 특이한 점은 해당 APT 공격조직이 2019년 7월에 사용한 명령제어(C&C) 서버를 1년이 지난 2020년 7월에도 동일하게 사용하고 있다는 점이다. 또한, 악성 hwp, doc 문서와 함께 2중 확장자로 눈속임 기법을 활용한 exe 실행 파일 공격도 복합적으로 사용하고 있다는 점이다.
이와 관련 ESRC 측은 “업무상 특별히 보안이 중요한 사람들은 이메일 접근에 각별한 주의가 요구된다”며, “지인 사이라도 평소 자주 연락이 없었거나 사전에 통보 없이 전달받은 문서나 인터넷 URL 링크 주소는 다소 번거롭더라도 반드시 발신자에게 직접 확인 후 열람하는 것이 안전하다”고 밝혔다.
이어 “이들이 수행 중인 ‘페이크 스트라이커’ APT 캠페인을 보다 상세히 관찰 연구 중이며, 일반 사이버범죄 수위를 넘어 국가간 사이버안보 차원의 수준으로 그 중요성을 무겁게 인식하고 있다”며, “특정 정부가 연계된 APT 조직들에 대한 위협이 어느 때보다 고조되는 지금, 보다 체계화된 분석 및 대응이 요구되는 동시에 민관 위협 인텔리전스 차원의 협력과 투자가 무엇보다 중요한 시점”이라고 ESRC 측은 강조했다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
