[데이터넷] 탈북인을 지원하는 종교 단체 활동을 위장한 APT 공격이 발견됐다. 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 비밀리에 진행되는 탈북민 지원 종교 활동으로 위장한 스피어피싱 메일이 유포되고 있다. 특히 이번 공격은 위장 메일 한 번으로 공격을 진행하지 않고 여러 차례 메일로 소통하면서 신뢰를 쌓고 공격을 이어나가는 치밀함을 보이고 있다.
ESRC가 발견한 위장 메일 사례를 살펴보면, 발신자는 국가안보전략연구원 소속이라고 밝히며, 북·중 접경지역에서 지하 종교인의 손편지를 받았다며 이들을 도와줄 것을 요청하는 내용으로 메일을 작성했다.
이어진 메일에서는 손편지를 촬영한 이미지 파일과 이미지를 열어볼 수 있는 방법을 안내하는 텍스트 파일이 포함돼 있다. 텍스트 파일에는 ‘첨부된 이미지는 특수 기재로 촬영된 사진으로, 윈도우 OS 혹은 안드로이드 스마트폰에서 실행파일을 다운받아야 한다’는 내용이 적혀있었으며, 실행파일을 다운로드 할 수 있는 단축URL을 연결시켰다. 파일을 실행하면 암호화된 JPG 이미지가 열리는데, 이는 북한 지하 종교인이 썼다는 손편지 사진이다.
공격자는 암호화 이미지 파일에 악성코드를 숨기는 스테가노그래피 공격 방식을 사용해 이미지 파일을 열어본 후 프로그램이 종료될 때 악성코드가 실행되도록 했다. 이메일 악성 파일을 탐지하는 보안 솔루션은 첨부파일을 열어보기 전 악성여부를 판단하도록 설계된다. 이 공격은 프로그램이 종료된 후 악성코드가 로딩되도록 해 악성메일 탐지 프로그램을 우회할 수 있다.
ESRC는 이번 공격에 사용된 악성파일이 지난해 금성121 공격그룹이 우리나라 정부 타깃 공격에 사용된 것과 상당부분 동일하다고 밝히며, 동일 그룹의 소행일 것으로 추정했다.
악성앱이 설치되면 피해자 휴대전화 백그라운드에서 동작하며 통화를 녹취해 C2 서버로 보낸다.
ESRC 관계자는 “정부 후원을 받는 금성121 APT 공격 조직은 스테가노그래피 뿐 아니라 안드로이드 기반 스마트폰 이용자 정보까지 노리고 있다는 점에 각별히 주의해야 한다”며 “스마트폰 사용 시 검증된 공식 마켓에 등록되고 검증된 앱 만을 사용해야 한다”고 설명했다.
