이스트시큐리티 “금성121, 라자루스 위장 공격 발견”
상태바
이스트시큐리티 “금성121, 라자루스 위장 공격 발견”
  • 김선애 기자
  • 승인 2019.08.04 14:07
  • 댓글 0
이 기사를 공유합니다

“잘 아는 사람끼리 메일인 것처럼 위장…다른 공격 조직 모방해 추적에 혼란 일으켜”

[데이터넷] 우리나라 대북단체 등을 상대로 APT 공격을 진행하는 ‘금성121’이 세계적인 해킹 그룹 라자루스의 공격인 것 처럼 모방한 정황이 발견됐다.

이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 잘 아는 사람끼리의 메일인 것 처럼 위장한 스피어피싱 메일이 발견됐으며, 최근 라자루스 계열 공격 방식을 따르고 있는 것으로 보인다.

ESRC가 분석한 스피어피싱 메일은 ‘어제 끝냈습니다’라는 제목, ‘늦게 올려서 죄송합니다. 지도 편달 잘 부탁드립니다’라는 내용으로 작성됐으며, ‘[완결]20190717.hwp’라는 제목의 한글문서 파일이 첨부돼 있다 이 첨부파일은 7월 초 라자루스 계열이 암호화폐 거래자를 타깃으로 진행한 APT 공격의 변종 코드가 포함돼 있다.

ESRC 관계자는 “다차원 인텔리전스 분석을 통해 라자루스로 모방한 공격조직의 배후에 금성121 조직이 연계된 단서를 다수 확보했다”며 “앞으로 이와 같이 보다 교묘하고 노골적인 사이버 위협의 등장을 알리는 신호탄이 될 지 모른다”고 밝혔다.

금성121은 특정 정부의 후원을 받아 한국의 대북단체와 외교, 안보, 통일, 국방분야 및 탈북민을 상대로 공격을 진행하고 있다. 이들은 HWP, XLS, DOC 문서 파일을 통한 공격을 주 무기로 활용하고 있으며, 우리나라 웹 서버 해킹과 해외 클라우드 서비스를 C&C로 활용하고 있다. 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.