북한 관련 내용 위장하는 ‘코니’ 조직의 첫번째 공격으로 분석
[데이터넷] NGO 단체의 공문으로 위장한 스피어피싱이 발견돼 주의가 요구된다.
이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 부모가 예기치 않게 사망한 후 미성년 자녀를 양육하는데 어려움을 겪는 가족을 지원하는 ‘킨즐러 파운데이션’의 정식 공문을 사칭해 공격을 진행했다. 발견된 문서는 ‘Kinzler Foundation for 2020 Tokyo Paralympic games.doc’라는 제목으로, 2020년 도쿄 패럴림픽을 위한 킨즐러 파운데이션의 활동 관련 내용으로 위장하고 있다.
또한 북한 2020년 정책에 대한 내용으로 위장한 악성 문서도 발견됐으며, 두 파일 모두 저장한 사람이 ‘Georgy Toloraya’였으며, 내부 코드 페이지가 한국어 기반으로 제작됐다.
공격에 활용된 악성 매크로는 북한 관련 내용으로 공격하는 코니(Konni) 조직이 활용한 것과 유사하며, 악성문서 파일 구조 역시 흡사하다. 공격자는 보안 탐지와 분석 등을 회피하기 위해 커스텀 Base64 코드 방식을 적용했는데, 이 역시 작년 9월 코니 그룹의 러시아·북한·한국 무역, 경제 관계 투자 문서로 수행된 수법과 정확히 일치한다.
문종현 ESRC 이사는 “2019년 코니와 김수키 조직간의 공통점이 발견된 사례가 있었던 만큼 두 조직에 대한 지속적인 연구가 필요하다. 특히 북한 관련 주제를 활용한 코니 조직의 APT 공격이 꾸준히 이어져 왔으며 2020년 새해에도 코니 조직의 활동이 새롭게 포착된 만큼, ESRC에서는 집중 모니터링을 강화하고 변종에 대한 대응을 철저히 진행하고 있다”고 말했다.
ESRC에서는 보고된 변종 악성 DOC 문서 파일에 의한 악성 코드 감염 피해 방지를 위해, 자사의 백신 알약 긴급 업데이트를 진행했다.
