> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
“탈북민 지원 종교단체 위장한 APT 공격 발견”
이스트시큐리티 “종교단체 회원의 도움 요청하는 손편지 위장한 스피어피싱 발견”
2019년 08월 05일 15:40:07 김선애 기자 iyamm@datanet.co.kr

[데이터넷] 탈북인을 지원하는 종교 단체 활동을 위장한 APT 공격이 발견됐다. 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 비밀리에 진행되는 탈북민 지원 종교 활동으로 위장한 스피어피싱 메일이 유포되고 있다. 특히 이번 공격은 위장 메일 한 번으로 공격을 진행하지 않고 여러 차례 메일로 소통하면서 신뢰를 쌓고 공격을 이어나가는 치밀함을 보이고 있다.

ESRC가 발견한 위장 메일 사례를 살펴보면, 발신자는 국가안보전략연구원 소속이라고 밝히며, 북·중 접경지역에서 지하 종교인의 손편지를 받았다며 이들을 도와줄 것을 요청하는 내용으로 메일을 작성했다.

이어진 메일에서는 손편지를 촬영한 이미지 파일과 이미지를 열어볼 수 있는 방법을 안내하는 텍스트 파일이 포함돼 있다. 텍스트 파일에는 ‘첨부된 이미지는 특수 기재로 촬영된 사진으로, 윈도우 OS 혹은 안드로이드 스마트폰에서 실행파일을 다운받아야 한다’는 내용이 적혀있었으며, 실행파일을 다운로드 할 수 있는 단축URL을 연결시켰다. 파일을 실행하면 암호화된 JPG 이미지가 열리는데, 이는 북한 지하 종교인이 썼다는 손편지 사진이다.

   

▲악성메일에 사용된 위장 편지. 지하 종교 활동을 하는 사람들이 도움을 요청하는 손편지로 위장하고 있으며, 이를 실행하면 백그라운드에서 악성코드가 실행된다. 

공격자는 암호화 이미지 파일에 악성코드를 숨기는 스테가노그래피 공격 방식을 사용해 이미지 파일을 열어본 후 프로그램이 종료될 때 악성코드가 실행되도록 했다. 이메일 악성 파일을 탐지하는 보안 솔루션은 첨부파일을 열어보기 전 악성여부를 판단하도록 설계된다. 이 공격은 프로그램이 종료된 후 악성코드가 로딩되도록 해 악성메일 탐지 프로그램을 우회할 수 있다.

ESRC는 이번 공격에 사용된 악성파일이 지난해 금성121 공격그룹이 우리나라 정부 타깃 공격에 사용된 것과 상당부분 동일하다고 밝히며, 동일 그룹의 소행일 것으로 추정했다.

악성앱이 설치되면 피해자 휴대전화 백그라운드에서 동작하며 통화를 녹취해 C2 서버로 보낸다.

ESRC 관계자는 “정부 후원을 받는 금성121 APT 공격 조직은 스테가노그래피 뿐 아니라 안드로이드 기반 스마트폰 이용자 정보까지 노리고 있다는 점에 각별히 주의해야 한다”며 “스마트폰 사용 시 검증된 공식 마켓에 등록되고 검증된 앱 만을 사용해야 한다”고 설명했다. 

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  이스트시큐리티, 탈북, 종교, 스피어피싱
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr