지난해 말부터 계속된 ‘블루 에스티메이트’ 공격 캠페인의 일환으로 추정
북한 추정 김수키 조직 소행 가능성 높아... 이메일 수신시 각별한 주의 필요
[보안뉴스 권 준 기자] 최근 한글문서(hwp) 이력서 양식으로 위장한 APT 공격이 발견됐다. 이번 공격은 우리나라를 상대로 끊임없이 사이버 공격을 감행하고 있는 북한 추정 ‘김수키(Kimsuky)’ 조직 소행으로 보인다.
▲눈속임 목적의 루어(Lure) 파일인 ‘이력서 양식.hwp’ 실행 화면
보안전문 기업 이스트시큐리티의 시큐리티대응센터(ESRC)에 따르면 해당 공격은 지난해 12월 4일 공개된 바 있는 ‘김수키 조직의 청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격’의 5번째 변종으로 알려졌다.
지난 2월 27일 제작된 5번째 변종의 경우 ‘이력서 양식.hwp.scr’ 파일명처럼 hwp 문서를 가장한 스크린 세이버 형식의 실행파일이며, 사용자가 해당 파일을 hwp 문서로 착각해 열람을 시도하는 경우 악성코드가 실행되는 것으로 분석됐다.
특히, 한글 이력서 양식으로 위장한 악성 파일은 사용자로부터 의심을 받지 않기 위해 원래 자신의 파일인 ‘이력서 양식.hwp.scr’을 삭제하는 동시에 ‘이력서 양식.hwp’이라는 실제 한글 문서를 눈속임 목적의 루어(Lure) 파일로 제공했다.
그러나 실제 다운로드 되는 최종 악성파일은 윈도우 explorer.exe에 악성코드를 삽입하고 추가 악성코드를 다운로드해 수집한 정보 업로드 기능을 수행하는 한편, 공격자의 추가 명령을 대기하게 된다.
특히, 이번 5번째 변종의 경우 기존 ‘블루 에스티메이트’ 캠페인과 비교했을 때 명령제어(C&C) 서버, 문자열 방식 등에서 차이가 존재하지만, ‘맥 어드레스 및 시리얼 정보 수집’ 기능에서는 공통된 코드를 나타내는 것으로 드러났다.
ESRC 측은 지난해 12월 4일부터 시작된 일련의 APT 공격을 ‘블루 에스티메이트’ 캠페인이라 명명한 바 있는데, 첫 번째부터 이번 다섯 번째 공격에 사용된 악성코드 제작날짜와 악성 파일명을 살펴보면 다음과 같다.
#오퍼레이션 블루 에스티메이트(Operation Blue Estimate)
-제작날짜(타임스태프): 2019-12-02 18:01:05(KST)
-파일명: 베트남 녹지원 상춘재 행사 견적서.hwp(다수의 공백 포함).exe
#오퍼레이션 블루 에스티메이트 Part 2(Operation Blue Estimate Part 2)
-제작날짜(타임스태프): 2020-01-17 10:33:41(KST)
-파일명: 오성사 MC2-500 외형도 P1307033 Model_수정.pdf(다수의 공백 포함).exe
#오퍼레이션 블루 에스티메이트 Part 3(Operation Blue Estimate Part 3)
-제작날짜(타임스태프): 2020-02-06 15:27:36(KST)
-파일명: 주민등록등본.pdf(다수의 공백 포함).scr
#오퍼레이션 블루 에스티메이트 Part 4(Operation Blue Estimate Part 4)
-제작날짜(타임스태프): 2020-02-13 14:58:31(KST)
-파일명: letter of indemnity (new version).pdf(다수의 공백 포함).exe
#오퍼레이션 블루 에스티메이트 Part 5(Operation Blue Estimate Part 5)
-제작날짜(타임스태프): 2020-02-27 18:16:35(KST)
-파일명: 이력서 양식.hwp.scr
ESRC 측은 이번 APT 공격 배후에 ‘김수키’ 조직이 연계되어 있는 것으로 강하게 추정하면서 악성메일로 유포되는 일련의 사이버공격을 차단하기 위해서는 출처한 불분명하거나 파일이 첨부돼 있는 경우 각별한 주의를 기울여야 한다고 강조했다.
[권 준 기자(editor@boannews.com)]
북한 추정 김수키 조직 소행 가능성 높아... 이메일 수신시 각별한 주의 필요
[보안뉴스 권 준 기자] 최근 한글문서(hwp) 이력서 양식으로 위장한 APT 공격이 발견됐다. 이번 공격은 우리나라를 상대로 끊임없이 사이버 공격을 감행하고 있는 북한 추정 ‘김수키(Kimsuky)’ 조직 소행으로 보인다.
▲눈속임 목적의 루어(Lure) 파일인 ‘이력서 양식.hwp’ 실행 화면
보안전문 기업 이스트시큐리티의 시큐리티대응센터(ESRC)에 따르면 해당 공격은 지난해 12월 4일 공개된 바 있는 ‘김수키 조직의 청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격’의 5번째 변종으로 알려졌다.
지난 2월 27일 제작된 5번째 변종의 경우 ‘이력서 양식.hwp.scr’ 파일명처럼 hwp 문서를 가장한 스크린 세이버 형식의 실행파일이며, 사용자가 해당 파일을 hwp 문서로 착각해 열람을 시도하는 경우 악성코드가 실행되는 것으로 분석됐다.
특히, 한글 이력서 양식으로 위장한 악성 파일은 사용자로부터 의심을 받지 않기 위해 원래 자신의 파일인 ‘이력서 양식.hwp.scr’을 삭제하는 동시에 ‘이력서 양식.hwp’이라는 실제 한글 문서를 눈속임 목적의 루어(Lure) 파일로 제공했다.
그러나 실제 다운로드 되는 최종 악성파일은 윈도우 explorer.exe에 악성코드를 삽입하고 추가 악성코드를 다운로드해 수집한 정보 업로드 기능을 수행하는 한편, 공격자의 추가 명령을 대기하게 된다.
특히, 이번 5번째 변종의 경우 기존 ‘블루 에스티메이트’ 캠페인과 비교했을 때 명령제어(C&C) 서버, 문자열 방식 등에서 차이가 존재하지만, ‘맥 어드레스 및 시리얼 정보 수집’ 기능에서는 공통된 코드를 나타내는 것으로 드러났다.
ESRC 측은 지난해 12월 4일부터 시작된 일련의 APT 공격을 ‘블루 에스티메이트’ 캠페인이라 명명한 바 있는데, 첫 번째부터 이번 다섯 번째 공격에 사용된 악성코드 제작날짜와 악성 파일명을 살펴보면 다음과 같다.
#오퍼레이션 블루 에스티메이트(Operation Blue Estimate)
-제작날짜(타임스태프): 2019-12-02 18:01:05(KST)
-파일명: 베트남 녹지원 상춘재 행사 견적서.hwp(다수의 공백 포함).exe
#오퍼레이션 블루 에스티메이트 Part 2(Operation Blue Estimate Part 2)
-제작날짜(타임스태프): 2020-01-17 10:33:41(KST)
-파일명: 오성사 MC2-500 외형도 P1307033 Model_수정.pdf(다수의 공백 포함).exe
#오퍼레이션 블루 에스티메이트 Part 3(Operation Blue Estimate Part 3)
-제작날짜(타임스태프): 2020-02-06 15:27:36(KST)
-파일명: 주민등록등본.pdf(다수의 공백 포함).scr
#오퍼레이션 블루 에스티메이트 Part 4(Operation Blue Estimate Part 4)
-제작날짜(타임스태프): 2020-02-13 14:58:31(KST)
-파일명: letter of indemnity (new version).pdf(다수의 공백 포함).exe
#오퍼레이션 블루 에스티메이트 Part 5(Operation Blue Estimate Part 5)
-제작날짜(타임스태프): 2020-02-27 18:16:35(KST)
-파일명: 이력서 양식.hwp.scr
ESRC 측은 이번 APT 공격 배후에 ‘김수키’ 조직이 연계되어 있는 것으로 강하게 추정하면서 악성메일로 유포되는 일련의 사이버공격을 차단하기 위해서는 출처한 불분명하거나 파일이 첨부돼 있는 경우 각별한 주의를 기울여야 한다고 강조했다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.png)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
