네이버·카이스트 등 유명한 도메인으로 명령제어 서버 위장해 활동
지난해 발생한 김수키 조직의 ‘청와대 행사 견적서’ APT 캠페인 연장선
공격 방식, 명령제어 서버 주소, 도메인 등록 계정 등 정황으로 김수키=탈륨으로 추정
[보안뉴스 이상우 기자] 북한을 배후에 둔 것으로 추정되는 해킹 조직 ‘탈륨(Thallium)’이 새로운 지능형지속위협(APT) 공격을 시도한 징후가 포착됐다. 탈륨의 경우 올해 8월부터 한국을 대상으로 시도한 공격이 탐지된 것만 7건에 달하며, 이달 초에도 미국 대선 이슈를 이용해 악성 HWP 파일 유포한 바 있다. 특히, 이들이 사용하는 명령제어 서버 주소나 공격 방식의 유사성 등을 통해 2014년 한수원을 공격한 김수키(Kimsuky)와 동일한 조직인 것으로 추정하고 있다.
[이미지=utoimage]
이번 공격에 쓰인 악성 파일은 새로 제작된 것이 아닌, 지난 2019년 진행한 김수키 조직의 APT 공격 캠페인 ‘오퍼레이션 블루 에스티메이트’의 연장선인 것으로 보인다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면 김수키는 지난해 12월 4일, ‘청와대 녹지원 상춘재 행사 견적서’라는 이름의 실행 파일(*.exe)을 한글 파일(*.hwp)로 위장해 유포하는 APT 캠페인을 진행한 바 있다. 이번 공격 역시 지난 캠페인의 일환으로, 공격자는 다양한 분야에서 사이버 위협 활동을 지속하는 등 활발히 활동 중이다.
지난 11월 4일, 해당 조직은 정찰 및 침투목적으로 악성 이메일을 유포한 바 있다. 이때 사용한 명령제어(C&C) 서버는 카이스트, 네이버 등을 사칭했으며, ‘www.kaist-ac.xyz’, ‘kaist.r-naver.com’처럼 익숙한 도메인으로 위장해 보안담당자의 눈을 속였다. 해당 주소는 이미 바이러스 토탈 커뮤니티(Threat inside)를 통해 악성 웹사이트로 분류된 상태다.
▲악성 이메일에 포함된 내부 코드에는 카이스트, 네이버 등을 사칭한 주소가 보인다[이미지=이스트시큐리티]
또한, ESRC는 모니터링 과정에서 동일 조직이 사용한 악성파일을 발견했다. 해당 파일은 11월 10일 제작됐으며, ut_zeus(x64).dll라는 이름의 64비트 DLL 파일을 출력한다. 이 파일 이름은 올해 7월 발견된 32비트 DLL 파일에도 쓰인 바 있으며, 당시 명령제어 서버는 탈륨이 악성파일 배포에 사용한 것과 동일하다. 이러한 정황을 통해 김수키와 탈륨을 동일한 조직으로 분류할 수 있다.
이번에 발견한 카이스트 사칭 명령제어 서버 역시 탈륨이 과거 사용한 도메인과 연관성이 있는 것으로 확인했으며, 공격에 쓰인 도메인 중 일부는 동일한 인물이 등록한 것으로 나타났다. 공격자는 ‘nextstep.php@gmail.com’이라는 구글 계정과 ‘Ttonggui Wang’ 혹은 ‘Tomas Jerry’라는 이름으로 해당 도메인을 신청했으며, 등록 국가를 대한민국 서울, 중국 베이징으로 바꾸는 등 허위정보를 이용한 것으로 보인다.
또한, 도메인 등록 시 입력한 전화번호는 지난 6월 30일 김수키가 코로나19 이슈를 이용한 공격에서 쓰인 도메인(org-help.com)을 등록할 때도 입력한 것으로 나타났다. 이를 기반으로 올해 방위산업 분야 기업을 공격하거나 네이버 고객센터를 사칭해 정보를 유출하는 등으로 악용된 바 있다.
▲명령제어 서버로 쓰이는 도메인 등록 시 계정 정보[이미지=이스트시큐리티]
ESCR 문종현 센터장은 “탈륨 조직은 다양한 분야를 상대로 전방위 공격을 수행하고 있다. 이 때문에 위협 인텔리전스를 강화해야 하며, 국가 사이버 안보 차원에서 보다 능동적인 대응과 민관의 공조가 절실하다”며, “탈륨 그룹의 파상공세에 맞서 사이버 위협을 짖누르는 전략을 체계화하고, 유사한 공격을 미연에 차단하는 등 피해를 줄일 수 있게 대비와 노력이 필요하다”고 말했다.
[이상우 기자(boan@boannews.com)]
지난해 발생한 김수키 조직의 ‘청와대 행사 견적서’ APT 캠페인 연장선
공격 방식, 명령제어 서버 주소, 도메인 등록 계정 등 정황으로 김수키=탈륨으로 추정
[보안뉴스 이상우 기자] 북한을 배후에 둔 것으로 추정되는 해킹 조직 ‘탈륨(Thallium)’이 새로운 지능형지속위협(APT) 공격을 시도한 징후가 포착됐다. 탈륨의 경우 올해 8월부터 한국을 대상으로 시도한 공격이 탐지된 것만 7건에 달하며, 이달 초에도 미국 대선 이슈를 이용해 악성 HWP 파일 유포한 바 있다. 특히, 이들이 사용하는 명령제어 서버 주소나 공격 방식의 유사성 등을 통해 2014년 한수원을 공격한 김수키(Kimsuky)와 동일한 조직인 것으로 추정하고 있다.
[이미지=utoimage]
이번 공격에 쓰인 악성 파일은 새로 제작된 것이 아닌, 지난 2019년 진행한 김수키 조직의 APT 공격 캠페인 ‘오퍼레이션 블루 에스티메이트’의 연장선인 것으로 보인다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면 김수키는 지난해 12월 4일, ‘청와대 녹지원 상춘재 행사 견적서’라는 이름의 실행 파일(*.exe)을 한글 파일(*.hwp)로 위장해 유포하는 APT 캠페인을 진행한 바 있다. 이번 공격 역시 지난 캠페인의 일환으로, 공격자는 다양한 분야에서 사이버 위협 활동을 지속하는 등 활발히 활동 중이다.
지난 11월 4일, 해당 조직은 정찰 및 침투목적으로 악성 이메일을 유포한 바 있다. 이때 사용한 명령제어(C&C) 서버는 카이스트, 네이버 등을 사칭했으며, ‘www.kaist-ac.xyz’, ‘kaist.r-naver.com’처럼 익숙한 도메인으로 위장해 보안담당자의 눈을 속였다. 해당 주소는 이미 바이러스 토탈 커뮤니티(Threat inside)를 통해 악성 웹사이트로 분류된 상태다.
▲악성 이메일에 포함된 내부 코드에는 카이스트, 네이버 등을 사칭한 주소가 보인다[이미지=이스트시큐리티]
또한, ESRC는 모니터링 과정에서 동일 조직이 사용한 악성파일을 발견했다. 해당 파일은 11월 10일 제작됐으며, ut_zeus(x64).dll라는 이름의 64비트 DLL 파일을 출력한다. 이 파일 이름은 올해 7월 발견된 32비트 DLL 파일에도 쓰인 바 있으며, 당시 명령제어 서버는 탈륨이 악성파일 배포에 사용한 것과 동일하다. 이러한 정황을 통해 김수키와 탈륨을 동일한 조직으로 분류할 수 있다.
이번에 발견한 카이스트 사칭 명령제어 서버 역시 탈륨이 과거 사용한 도메인과 연관성이 있는 것으로 확인했으며, 공격에 쓰인 도메인 중 일부는 동일한 인물이 등록한 것으로 나타났다. 공격자는 ‘nextstep.php@gmail.com’이라는 구글 계정과 ‘Ttonggui Wang’ 혹은 ‘Tomas Jerry’라는 이름으로 해당 도메인을 신청했으며, 등록 국가를 대한민국 서울, 중국 베이징으로 바꾸는 등 허위정보를 이용한 것으로 보인다.
또한, 도메인 등록 시 입력한 전화번호는 지난 6월 30일 김수키가 코로나19 이슈를 이용한 공격에서 쓰인 도메인(org-help.com)을 등록할 때도 입력한 것으로 나타났다. 이를 기반으로 올해 방위산업 분야 기업을 공격하거나 네이버 고객센터를 사칭해 정보를 유출하는 등으로 악용된 바 있다.
▲명령제어 서버로 쓰이는 도메인 등록 시 계정 정보[이미지=이스트시큐리티]
ESCR 문종현 센터장은 “탈륨 조직은 다양한 분야를 상대로 전방위 공격을 수행하고 있다. 이 때문에 위협 인텔리전스를 강화해야 하며, 국가 사이버 안보 차원에서 보다 능동적인 대응과 민관의 공조가 절실하다”며, “탈륨 그룹의 파상공세에 맞서 사이버 위협을 짖누르는 전략을 체계화하고, 유사한 공격을 미연에 차단하는 등 피해를 줄일 수 있게 대비와 노력이 필요하다”고 말했다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 TH.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
