사회공학 기법 이용 APT로 방어 어렵게 해
[데이터넷] 전 세계 APT 공격그룹이 코로나19를 적극 이용하면서 정보와 금전탈취를 위한 공격을 이어가고 있다. 그 중 특정 정부의 후원을 받고 있는 코니(Konni) 공격그룹이 최근 마스크 관련 정보를 담은 악성문서로 사이버 스파이 활동을 전개하고 있는 것이 발견됐다. 코니는 2014년부터 사회공학 기법을 이용해 우리나라를 포함한 다른 여러 국가에서 APT 공격을 진행해왔다.
이스트시큐리티(대표 정상원)에 따르면 코니는 MS 워드 문서로 마스크와 관련된 정보를 담고 있으며 한국어 기반 환경에서 작성된 것으로 분석됐다. 악성문서를 처음 열면 문서 내용이 제한적으로 보여 상단의 ‘콘텐츠 사용’ 버튼을 클릭하도록 유도한다. 버튼을 클릭할 경우 최근 이슈가 되고 코로나19 바이러스 관련 마스크 소개 내용을 담은 문서를 보여주며 악성코드 감염 의심을 회피한다.
하지만 실제로는 공격자가 미리 설정해둔 악성 매크로 코드가 동작하며 사용자 몰래 자동으로 추가 파일을 실행한다. 이후 공격자의 명령제어서버에서 추가로 악성 파일을 다운로드해 사용자 정보를 탈취하는 기능을 가진 최종 악성코드를 설치한다. 악성코드는 탐지·분석 회피를 위한 커스텀 코드를 적용하고 있다.
악성코드가 설치될 경우 공격자가 지정한 FTP로 감염된 PC의 시스템 정보와 실행 중인 응용프로그램, 관련 작업, 프로세스 목록 정보가 업로드되며, C2 서버를 통한 추가 공격 명령도 수행할 수 있게 된다.
코니는 1분기 러시아어로 작성된 ‘북한의 2020년 정책 문서’, ‘일본 2020년 패럴림픽 관련 자선단체 문서’ 사칭, 'Keep an eye on North Korean Cyber'라는 악성 doc 문서를 활용한 공격 등을 진행한 것으로 알려진다.
문종현 이스트시큐리티 시큐리티대응센터 이사는 “코니 조직은 2014년부터 국내외 특정 조직을 타깃으로 사회공학적 기법을 활용한 다양한 APT 공격을 수행해왔다”며 “이 조직은 타깃이 관심을 가질만한 사회적 이슈나 주제를 공격에 활용하는 모습을 자주 보여온 만큼, 각 기업과 기관에서는 이들의 움직임에 주목해야 한다”고 강조했다.
