인터뷰, 특강, 강연 의뢰로 위장해 접근 시도
원드라이브, 프로톤 드라이브 등 클라우드 통해 악성파일 전달
[보안뉴스 김경애 기자] 2024년 상반기 동안 한국을 주요 거점으로 활동한 다양한 APT(지능형 지속위협) 공격이 관찰된 가운데, 북한의 해커조직 김수키(Kimsuky)가 이른바 ‘블루샤크(BlueShark)’ 전술로 APT 공격을 펼친 것으로 드러났다.
▲BlueShark 흐름도 및 피싱메일 발송기 연관관계[자료=지니언스 시큐리티 센터]
블루샤크 전술은 과거 김수키 조직의 베이비샤크 전술의 업그레이드 버전으로 강연의뢰, 특강, 인터뷰 질문지 등으로 위장해 첨부파일, 구글 드라이브, 프로톤 드라이브 등 클라우드를 통해 다양한 악성파일을 전달한다.
김수키 조직의 블루샤크 전술을 분석한 지니언스 시큐리티 센터(GSC)는 “김수키 조직이 블루샤크 전술에 전형적인 스피어피싱 공격 시나리오를 사용했다”며 “강연의뢰서로 위장한 악성 파일을 ‘blushaak’ 사이트에 등록했고, 한국에서 발행하는 특정 영자신문사 칼럼니스트의 인터뷰 질의를 사칭한 공격도 발견했다”고 밝혔다.
불루샤크 전술의 처음은 강연의뢰서, 인터뷰, 특강 등 의뢰로 접근을 시도하는 것이다. 강의요청 내용의 메일과 함께 첨부된 압축파일인 zip 내부에는 ‘***** 강연의뢰서_ *** 교수님 .docx.lnk’ 바로가기 악성파일이 포함돼 있다.
인터뷰를 사칭해 전달된 악성파일은 각각 ‘원드라이브(OneDrive)’, ‘프로톤 드라이브(Proton Drive)’ 등 클라우드 서비스를 통해 다운로드가 진행됐다.
클라우드 드라이브를 통해 유포된 파일명은 ‘Interview(202406).hwp’, ‘Online Interview(Zoom).iso’다. 먼저 ‘Online Interview(Zoom).iso’ 파일은 디스크 이미지 압축형태로 내부에 두개의 파일이 포함돼 있다. 하나는 msc 관리콘솔 기반 악성파일이고, 또 다른 하나는 exe로 화상통화 협업용 정상 줌(zoom) 파일이다.
특히 msc 내부에 존재하는 핵심 악성코드는 ‘nzzstore[.]site’ 명령제어(C&C) 서버로 접속 후 추가 명령을 수행한다. 이때 수행되는 명령은 정상문서 내용을 담고 있는 속임수용 구글 docx 오픈 기능과 터미널 서비스 업데이트 명으로 위장한 작업 스케줄러 등록이다.
이런 식으로 공격자는 이메일 계정정보 피싱과 함께 lnk 바로가기 유형 악성파일 등 여러가지 공격 수법을 사용했다. 그리고 침투시도 절차 중 정상 docx 문서 파일은 속임수용 미끼로 연결했다.
그렇다보니 일상적 정상업무 내용처럼 접근해 올 경우 수신자 입장에서 위험성을 판단하기 어렵다. 공격자는 이점을 노리고 있으며, 메일 회신과 반응에 따라 본격적인 단말 침투 공격에 돌입해 다양한 악성코드로 사용자의 정보를 탈취하고, 시스템을 장악한다.
이처럼 북한의 사이버 위협은 갈수록 지능화·고도화되는 추세다. 이에 따라 기관과 기업은 촘촘한 보안망을 바탕으로 내부정보 유출 피해를 방지해야 한다.
GSC 문종현 센터장은 “백신프로그램 시그니처로 msc 변종 악성파일 초기 유입 탐지를 못해도 EDR 시스템 등을 통해 실행 행위 자체를 즉각 식별해야 한다”며 “강연의뢰서로 위장된 hwp 악성문서 등을 비롯해 악성파일 탐지와 ole 기능으로 drop되는 이상행위에 대해 탐지 및 모니터링을 강화해야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>