북한 연계 추정 해킹조직 ‘탈륨’, 미국 대선 예측 HWP 문서 통한 공격 발견
한컴 OLE 개체로 명령어 실행 및 정보 수집, 보안회사 업데이트로 위장해 서버로 전송
사용자는 개체 실행 경고창에서 반드시 ‘취소’ 눌러야 피해 막을 수 있어
[보안뉴스 이상우 기자] 미국 대선 결과 예측 언론문서로 위장한 한글 파일(*.hwp)을 통한 APT(지능형 지속 위협) 공격이 발견됐다. 이번 공격의 경우 결과 발표가 얼마 남지 않아 호기심을 끌기 좋은 미국 대선 이슈를 공격에 사용했다는 점에서 주의가 필요하다.
▲구글 바이러스 토탈에 등록된 한글 파일[캡처=이스트시큐리티]
이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 북한과 연계한 것으로 보이는 해킹조직 ‘탈륨’이 대선 예측 언론사 문건으로 위장한 악성 HWP 문서 파일을 통해 APT 공격을 시도하고 있다. 탈륨은 최근에도 ‘북한 내부 소식 공유’로 위장한 HWP 파일을 유포한 바 있으며, 공격 방식의 유사성 등을 통해 북한의 해킹조직인 ‘킴수키(Kimsuky)’와 동일한 조직으로 추정하고 있다.
해당 파일은 ‘미국 대선 예측-미주중앙일보.hwp’라는 파일명으로 11월 1일 제작됐으며, 본문 역시 ‘대선 이후 미국의 대북 정책 전망과 역할’이라는 실제 보고서 내용(영문)과 ‘대선 이후 미국의 북한 비핵화 정책 전망과 과제’ 등의 내용(국문)으로 구성돼 있어 파일에 대한 신뢰도를 높였다.
▲해당 악성 파일 실제 보고서 내용을 담고 있다[캡처=이스트시큐리티]
하지만, 해당 파일을 실행할 경우 ‘객체 연결 삽입’ 기능을 통해 비주얼 베이직 스크립트(VBS) 코드가 작동하고, 이를 통해 명령제어(C&C) 서버에서 추가적인 명령을 받아 사용자 PC에서 운영체제 시스템 정보, 프로세스 목록, 설치된 파일 등 각종 정보를 주기적으로 유출한다. 또한, 정보를 서버로 전송 시 국내 보안회사 소프트웨어 업데이트(AhanlabUpdate)로 위장하는 치밀함까지 보였다.
HWP 파일의 경우 기존에는 포스트 스크립트 취약점과 쉘코드를 결합한 방식이 많았으나, 이러한 취약점을 개선한 한컴 오피스 최신 버전 보급에 따라 객체 연결 삽입(OLE) 기능을 공격에 활용하는 사례가 늘고 있다. 객체(혹은 개체) 연결 삽입이란 문서 내에 링크나 이미지 혹은 패키지 등 다른 파일을 쉽게 삽입하고 이를 연결하는 기능이다.
이번 파일의 경우 삽입된 OLE 개체가 눈에 띄지 않게 교묘하게 숨겨져 있으며, 사용자가 무심코 이 영역을 클릭할 경우 앞서 언급한 VBS 코드가 실행된다. 한컴 오피스 버전 및 사용자의 설정에 따라 개체 실행이 차단된 경우도 있지만, 사용자가 ‘열기’나 ‘한 번 허용’을 클릭할 경우 공격에 노출된다. 따라서 이러한 경고 창을 확인하면 반드시 ‘취소’를 누를 것을 권고한다.
▲OLE 개체 실행 시 나타나는 경고 화면에서 취소를 눌러야 한다[캡처=이스트시큐리티]
탈륨은 마이크로소프트가 북한과 연계한 해킹조직으로 정식 고소해 현재 궐석 재판이 진행 중이며, 한글 파일과 국문을 통해 대한민국을 상대로 한 다양한 APT 공격도 감행하고 있다. 이스트시큐리티에 따르면 전략·전술 역시 꾸준히 발전하고 고도화되고 있어 더 많은 연구와 방어 노력이 필요하다.
이스트시큐리티 ESRC 측은 “미국 대선처럼 국제적으로 관심이 높은 키워드나 호기심을 유발할 수 있는 내용이 해킹 공격에 좋은 먹잇감이 될 수 있다는 것을 항상 명심하고, 유사한 보안 위협에 현혹되거나 쉽게 노출되지 않도록 더 많은 관심과 보안실천 노력이 필요하다”며, “탈륨 같은 정부차원의 해킹조작에 대해 보다 체계적이고 전문화한 연구룰 지속할 것”이라고 말했다.
[이상우 기자(boan@boannews.com)]
한컴 OLE 개체로 명령어 실행 및 정보 수집, 보안회사 업데이트로 위장해 서버로 전송
사용자는 개체 실행 경고창에서 반드시 ‘취소’ 눌러야 피해 막을 수 있어
[보안뉴스 이상우 기자] 미국 대선 결과 예측 언론문서로 위장한 한글 파일(*.hwp)을 통한 APT(지능형 지속 위협) 공격이 발견됐다. 이번 공격의 경우 결과 발표가 얼마 남지 않아 호기심을 끌기 좋은 미국 대선 이슈를 공격에 사용했다는 점에서 주의가 필요하다.
▲구글 바이러스 토탈에 등록된 한글 파일[캡처=이스트시큐리티]
이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 북한과 연계한 것으로 보이는 해킹조직 ‘탈륨’이 대선 예측 언론사 문건으로 위장한 악성 HWP 문서 파일을 통해 APT 공격을 시도하고 있다. 탈륨은 최근에도 ‘북한 내부 소식 공유’로 위장한 HWP 파일을 유포한 바 있으며, 공격 방식의 유사성 등을 통해 북한의 해킹조직인 ‘킴수키(Kimsuky)’와 동일한 조직으로 추정하고 있다.
해당 파일은 ‘미국 대선 예측-미주중앙일보.hwp’라는 파일명으로 11월 1일 제작됐으며, 본문 역시 ‘대선 이후 미국의 대북 정책 전망과 역할’이라는 실제 보고서 내용(영문)과 ‘대선 이후 미국의 북한 비핵화 정책 전망과 과제’ 등의 내용(국문)으로 구성돼 있어 파일에 대한 신뢰도를 높였다.
▲해당 악성 파일 실제 보고서 내용을 담고 있다[캡처=이스트시큐리티]
하지만, 해당 파일을 실행할 경우 ‘객체 연결 삽입’ 기능을 통해 비주얼 베이직 스크립트(VBS) 코드가 작동하고, 이를 통해 명령제어(C&C) 서버에서 추가적인 명령을 받아 사용자 PC에서 운영체제 시스템 정보, 프로세스 목록, 설치된 파일 등 각종 정보를 주기적으로 유출한다. 또한, 정보를 서버로 전송 시 국내 보안회사 소프트웨어 업데이트(AhanlabUpdate)로 위장하는 치밀함까지 보였다.
HWP 파일의 경우 기존에는 포스트 스크립트 취약점과 쉘코드를 결합한 방식이 많았으나, 이러한 취약점을 개선한 한컴 오피스 최신 버전 보급에 따라 객체 연결 삽입(OLE) 기능을 공격에 활용하는 사례가 늘고 있다. 객체(혹은 개체) 연결 삽입이란 문서 내에 링크나 이미지 혹은 패키지 등 다른 파일을 쉽게 삽입하고 이를 연결하는 기능이다.
이번 파일의 경우 삽입된 OLE 개체가 눈에 띄지 않게 교묘하게 숨겨져 있으며, 사용자가 무심코 이 영역을 클릭할 경우 앞서 언급한 VBS 코드가 실행된다. 한컴 오피스 버전 및 사용자의 설정에 따라 개체 실행이 차단된 경우도 있지만, 사용자가 ‘열기’나 ‘한 번 허용’을 클릭할 경우 공격에 노출된다. 따라서 이러한 경고 창을 확인하면 반드시 ‘취소’를 누를 것을 권고한다.
▲OLE 개체 실행 시 나타나는 경고 화면에서 취소를 눌러야 한다[캡처=이스트시큐리티]
탈륨은 마이크로소프트가 북한과 연계한 해킹조직으로 정식 고소해 현재 궐석 재판이 진행 중이며, 한글 파일과 국문을 통해 대한민국을 상대로 한 다양한 APT 공격도 감행하고 있다. 이스트시큐리티에 따르면 전략·전술 역시 꾸준히 발전하고 고도화되고 있어 더 많은 연구와 방어 노력이 필요하다.
이스트시큐리티 ESRC 측은 “미국 대선처럼 국제적으로 관심이 높은 키워드나 호기심을 유발할 수 있는 내용이 해킹 공격에 좋은 먹잇감이 될 수 있다는 것을 항상 명심하고, 유사한 보안 위협에 현혹되거나 쉽게 노출되지 않도록 더 많은 관심과 보안실천 노력이 필요하다”며, “탈륨 같은 정부차원의 해킹조작에 대해 보다 체계적이고 전문화한 연구룰 지속할 것”이라고 말했다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 TH.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
