이스트시큐리티 “통일부 출입기자 대상 스피어피싱, 정상 기고문 형태 hwp 파일로 감염 시도”
통일부 출입 언론사 기자를 대상으로 대규모 스피어피싱 공격이 등장했다. 특히 이 공격에 사용된 악성문서는 국내 유명 컬럼니스트가 시사주간지에 기고한 내용을 위장하고 있으며, 한국 보안솔루션 모듈과 같은 파일명의 추가 악성파일을 생성한다.
이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 공격자들은 윈도우 스크립트 파일을 이용해 공격했으며, 공격 흔적을 남기지 않기 위해 노력했다. ESRC는 이 공격을 작전명 ‘코브라 베놈(Operation Cobra Venom)’이라고 명명하고, 특정 정부가 지원하는 해킹조직으로 분류·추적을 이어가고 있다.
스피어피싱에 사용된 첨부문서는 ‘TF참고.zip’이라는 제목이었으며, 압축파일에는 암호가 걸려있었고, 비밀번호는 ‘비번’이었다. 압축파일에는 2개의 정상 PDF와 HWP 위장 악성 EXE 파일 등 3개의 파일이 포함돼 있었다.
ESRC는 지난해 1월 이와 비슷한 형태의 공격이 발견된 바 있다고 밝히며, 당시에는 ‘정보보고.wsf’ 파일을 통해 언론사 대상 공격을 시도했다고 설명했다.
저작권자 © 데이터넷 무단전재 및 재배포 금지
