‘사악한 새해’가 열렸다…진화한 한국 타깃 공격 시작
상태바
‘사악한 새해’가 열렸다…진화한 한국 타깃 공격 시작
  • 김선애 기자
  • 승인 2018.01.17 10:32
  • 댓글 0
이 기사를 공유합니다

시스코 탈로스 보고서…“한국에 대한 높은 수준의 지식 가진 공격자, 한국 타깃 공격 진행”

“사악한 새해가 열렸다.”

시스코는 보안 인텔리전스 그룹 탈로스(Talos)가 지난 한 해 동안 우리나라를 타깃으로 진행된 공격을 분석한 보고서를 17일 발표하고 올해 ‘사악한 새해 2018’ 공격이 시작됐다고 밝혔다.

보고서에 따르면 지난 한 해 동안 탈로스가 분석한 한국 타깃 공격은 ▲골든 타임 ▲사악한 새해 ▲프리밀크(FreeMilk) ▲행복하십니까 ▲북한 인권 ▲사악한 새해 2017 등으로 분류된다. 올해 시작된 사악한 새해 2018은 2017의 공격방식을 따르고 있으며, 공유코드와 프로그래밍 데이터베이스(PDB) 등을 포함한다.

사악한 새해 2017을 진행한 그룹을 시스코는 ‘그룹 123’이라고 명명했으며, 이들은 한국 통일부에서 한국에 대한 분석을 제공하는 이메일을 보낸 것으로 가장해 피해자를 속이려고 시도했다. 이 캠페인은 한국을 대상으로 하며, 악성 첨부 파일을 포함하는 소수의 스피어 피싱 이메일로 시작됐다.

그룹 123은 1월 2일 새해에 맞춰 캠페인을 시작했는데, 북한 지도자의 2018년 신년사를 분석한 내용으로 위장한 악성 HWP 문서를 사용했다. 사악한 새해 2017과 같은 방식이었다.

그룹 123은 HWP문서와 MS 문서를 이용해 국내뿐 아니라 전세계를 대상으로 공격하고 있다. 공개 익스플로잇과 스크립팅 언어를 사용해 악성 페이로드를 설치하며, 합법적인 웹사이트와 클라우드 플랫폼을 사용해 감염된 시스템과 통신한다.

탈로스는 그룹 123이 끊임없이 진화하며 앞으로도 활발한 활동을 펼칠 것으로 예상하고 있으며, 이 그룹의 대상 프로파일링은 변화할 수 있지만 현재로서는 한반도가 주요 대상이라고 판단하고 있다.

▲시스코 탈로스가 추적한 공격 타임라인

높은 수준의 한국 지식 보유한 공격자

한편 지난해 발생한 6가지 중요한 한국 타깃 공격은 모두 한컴오피스 제품군을 이용해 만든 악성 HWP 문서와 결합된 스피어 피싱 이메일을 사용했다. 이들은 한국어를 자연스럽게 사용하고 지역 특성에 맞는 공격으로 공격 대상이 정보, 문서 또는 이메일을 합법적이라 생각하도록 유도하고 있다. 이 공격 조직은 상당히 높은 수준으로 한국 관련 지식을 보유하고 있다.

프리밀크 캠페인은 한국 금융 기관뿐 아니라 전세계 금융 기관을 대상으로 진행됐다. 이 캠페인에서 공격자는 일반적으로 사용하던 한컴 문서가 아닌 마이크로소프트 오피스 문서를 사용했다.

행복하십니까 캠페인에서 공격자는 디스크 와이퍼를 구축했다. 공격 목적은 감염된 원격 시스템에 대한 접근 권한을 획득해 디바이스의 첫 번째 섹터를 지우는 것이었다. 이 와이퍼는 ROKRAT 모듈인 것으로 확인됐다.

골든 타임 캠페인의 경우 이메일 샘플에서 공격자는 사용자를 ‘통일·북한 학술대회’ 관련 패널로 유도한다는 점이 관찰됐다. 발신자는 'kgf2016@yonsei.ac.kr'로, ‘한반도국제포럼’이라는 학술대회 담당자 이메일이었다. 이메일 헤더 분석 결과 이 이메일은 연세대학교 네트워크와 연관된 IP를 사용하는 SMTP 서버에서 전송되었음이 확인됐다. 공격자가 이 이메일 주소의 보안을 침해하고 악용해 캠페인에서 사용된 이메일을 전송한 것으로 보인다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.