북한 김수키, 연이은 언론사 사칭 공격... 이번에는 ‘외신 인터뷰 의뢰’

2024-06-06 19:49
  • 카카오톡
  • 네이버 블로그
  • url
북한 인권 활동가 대상 ‘타깃형’ 스피어피싱 공격...김수키 그룹 소행
HWP 악성 문서 파일 공격 이은 MSC 기반 APT 공격은 두 차례 포착
확장자 .msc인 경우, DOC·PDF 아이콘 위장한 악성코드 가능성 높아


[보안뉴스 이소미 기자] 최근 김수키(Kimsuky) 그룹이 외신 통신사 소속의 연구원 신분으로 위장해 다수의 북한 인권 활동가들을 대상으로 이메일로 접근, ‘한반도 평화 주제 관련 서면 인터뷰 요청’ 등의 방식으로 스피어 피싱 공격을 벌이고 있어 대북 종사자들의 각별한 주의가 요구되고 있다.

특히 일반적인 스피어 피싱은 초기 접근 단계부터 악성 URL 링크 및 파일을 첨부하는 경우가 대부분이다. 하지만 이번 공격처럼 정상적인 질문·협조 요청은 물론, 신뢰를 쌓기 위해 지속적으로 친밀한 대화를 이어나가는 등 ‘반응형 투-트랙(Two-Track) 스피어 피싱 공격’이 증가하고 있다고 지니언스 시큐리티 센터(이하 GSC)는 전했다.


▲통신사 인터뷰 요청 위장 이메일 접근 및 악성 HWP 문서 첨부 화면[자료=지니언스]

이번 캠페인의 공격자는 접근 초기 단계부터 악성 파일 등을 첨부하지 않고 인터뷰 요청과 관련해 수차례 정상적인 대화를 이어가며 이메일을 주고받은 것으로 드러났다. 이후 공격자는 대상자에게 참고자료라며 ‘인터뷰메모(2405).hwp’라는 악성 파일을 첨부하고, ‘기사 초안’을 링크로 넣어두었다며 ‘기재 예정 기사 초안(검토 필요)’로 표기된 밑줄 영역을 클릭하도록 유도한다.

이는 이른바 ‘개체 연결 삽입(OLE)’ 공격으로 클릭과 동시에 OLE 추가 명령이 작동해 ‘doc.bat’이라는 배치 파일을 임시폴더(Temp) 경로에 생성해 확장자 없는 ‘qaz’ 파일에 저장한다. 이는 보안 소프트웨어(Anti-Malware) 프로세스를 검색해 백신 탐지 우회를 노리는 것으로 분석됐다.

또한 공격자는 1차 hwp 공격 실패 이후 동일 대상자에게 후속 공격으로 msc 유형의 악성 파일을 사용한 정황히 포착됐는데, 이는 김수키 그룹 소행의 msc 악성 파일이 APT 공격에 사용된 것은 이번이 두번째다.


▲‘인터뷰메모(2405).hwp’ 문서 실행 화면과 msc 파일 다운로드 진행 시 아이콘 비교 화면[자료=지니언스]

해당 공격에 쓰인 ‘양자암호_기사(초안).msc’, ‘Pocantico Agenda_Jun 4-6.msc’ 두 개의 악성 파일은 공격자의 ‘원드라이브(OneDrive)’ 계정으로 대상자별로 다른 링크를 적용해 원 드라이브(OneDrive) 클라우드 링크를 통해 전달된다. 이때 크롬 웹 브라우저 조건에서 다운로드 기록 아이콘이 msc 파일로 보여지는데, 다운로드 후에는 Word, PDF 문서처럼 보이도록 아이콘이 조작됐다.

‘양자암호_기사(초안).msc’ 파일은 hwp 공격을 받은 대상자가 동일하게 받은 파일로 ‘Pocantico Agenda_Jun 4-6.msc’ 파일은 hwp 악성 문서와 명령제어(C&C) 서버 도메인이 공통적으로 일치했으며, 경로만 다르고 다른 명령 부분은 동일한 것으로 나타났다. 참고로 해당 명령 값은 GSC가 발표한 기존 ‘페이스북과 MS 관리콘솔을 활용한 Kimsuky APT 공격 발견’ 내용과 일치하는 것으로 나타났다. 또한 이번 공격 사례와 과거에 사용된 C&C 도메인 이력을 비교해 공격 거점은 변경되고 있지만 동일한 캠페인이 지속적으로 진행되고 있다고 밝혔다.

hwp 및 msc 파일은 공통적으로 bat, vbs 명령을 사용하고 있는데, 특이한 점은 예약 작업 등록으로 잠복기·지속성을 유지한다. 특히 msc 파일의 경우 Anti-Malware 시그니처 탐지율이 저조한 상태로 그만큼 널리 알려지지 않았기 때문이며, 김수키 그룹이 MSC 관리콘솔 명령을 국지적 APT 공격에 적극 활용한 것은 시그니처(패턴) 기반의 보안 탐지 회피 전략으로 평가됐다.


▲김수키(Kimsuky) 그룹의 HWP·MSC 기반 공격 흐름도[자료=지니언스]

이처럼 공격자는 화살표가 포함된 아이콘 유형의 바로가기(LNK) 악성코드와 더불어 MS 관리콘솔(MSC) 악성 파일을 꾸준히 활용하고 있는 것으로 나타났다. 현재까지 발견된 종류로 △양자암호_기사(초안).msc △Pocantico Agenda_Jun 4-6.msc △Interview by Reuters(SeanKing).msc 등이 있지만, 이외에도 더 많은 변종이 있을 것으로 추정된다고 GSC는 전했다.

한편, 해당 공격은 GSC가 5월 발간한 위협 인텔리전스 보고서에서 북한 인권 분야 공직자 사칭의 페이스북 계정을 악용한 ‘페이스북 기반 침투 전략’의 연장선 중 하나로 분석하고 있다. 두 케이스 모두 ‘북한 인권 분야’라는 공통점이 있고, hwp 악성 문서와 함께 ‘MS 관리콘솔’ 프로그램을 통해 실행되는 ‘MS Common Console 문서(msc)’가 활용된 특징을 짚었다.

이와 관련해 GSC는 아이콘에 작은 화살표가 있는 파일이 이메일이나 SNS 등으로 수신될 경우나 HWP·DOC·PDF 문서 파일의 아이콘이라도 확장자가 msc인 경우, 악성코드일 가능성이 높으므로 아이콘과 확장자를 유심히 살펴보는 보안 습관이 요구된다고 전했다.

또한 중국 기반 위협그룹인 ‘머스탱 판다(Mustang Panda)’가 김수키 MSC 공격전략을 모방한 것으로도 보고 있다. 지난 5월 30일 ‘Шуурхай мэдээ 2024-05-27 -.msc’ 이라는 몽골어로 이루어진 파일이 몽골 지역에서 바이러스토탈(VT)에 업로드됐는데, 해당 파일을 영어로 번역하면 속보 뉴스(Breaking news 2024-05-27-.msc)라는 의미다.

이를 두고 GSC는 “두 그룹이 전략적 협력 구축 여부 및 중국의 일방적인 모방인지 밝혀지진 않았지만 공격자 측면에서 MSC 공격이 유효한 것은 분명하다”면서 “APT 공격이 나날이 국지화되고 있어 기업이나 기관은 이상행위 탐지에 특화된 EDR 솔루션을 적극 도입할 필요가 있다”고 덧붙였다.

한편 GSC는 한국인터넷진흥원의 위협 인텔리전스 네트워크 및 국내외 주요 보안 관계자들과의 협력을 통해 민관 합동 대응을 진행한 바 있다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 알티솔루션

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • TVT코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 인텔리빅스

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 한결피아이에프

    • 유니뷰코리아

    • 디비시스

    • 프로브디지털

    • 스피어AX

    • 투윈스컴

    • 트루엔

    • 한국씨텍

    • 위트콘

    • 유에치디프로

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • 에이티앤넷

    • (주)일산정밀

    • 주식회사 에스카

    • 두레옵트로닉스

    • 넥스텝

    • 모스타

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 지와이네트웍스

    • 티에스아이솔루션

    • 구네보코리아주식회사

    • 동양유니텍

    • 엔에스티정보통신

    • 엔시드

    • 포커스에이치앤에스

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

    • 제이슨

    • 라온시큐어

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기