라자루스, 코로나19·성착취 영상 관련 이슈로 APT 공격
상태바
라자루스, 코로나19·성착취 영상 관련 이슈로 APT 공격
  • 김선애 기자
  • 승인 2020.04.27 10:55
  • 댓글 0
이 기사를 공유합니다

이스트시큐리티 “최근 국내 이슈 악용 사이버 첩보·외화벌이 활동 벌여”
한국·미국 대상 지속 공격 진행…암호화폐 거래 관계자 공격도 지속

[데이터넷] 악명높은 APT 공격그룹 ‘라자루스(Lazarus)’가 ‘코로나19’, ‘집단 성착취 및 영상거래’ 등 우리나라에서 가장 뜨거운 관심을 받고 있는 이슈를 이용해 사이버 정보 수집·외화벌이 목적으로 공격을 펼치고 있다.

이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 최근 발견된 APT 공격 중 라자루스가 위협 배후로 추정되는 공격은 ▲블록체인 소프트웨어 개발 계약서 ▲한미관계와 외교안보 ▲항공우주기업 채용 관련 문서 ▲○○광역시 코로나 바이러스 대응 ▲성착취물 유포사건 출석통지서 사칭 등이 있다.

▲한미관계와 외교안보 내용을 담고 있는 악성 워드 문서 화면(제공=이스트시큐리티)
▲한미관계와 외교안보 내용을 담고 있는 악성 워드 문서 화면(제공=이스트시큐리티)

라자루스는 최근 블록체인 소프트웨어 개발 계약서로 위장한 스피어피싱을 진행하기도 한다. 이 공격에 사용된 악성 이메일에는 실제 전자지불 관련 서비스를 제공하고 있는 기업명이 언급되어 있으며, 해당 기업의 블록체인 소프트웨어 개발 계약서로 사칭한 서류를 검토해 달라는 내용으로 악성 첨부파일을 열어보도록 유도한다.

특히 주로 비트코인 등을 거래했거나 관련 분야 종사자를 주요 공격 표적으로 삼고 있어, 금전적인 피해로 이어질 위험도 우려된다.

지난 4월 1일 발견된 ○○광역시 감염병관리지원단 사칭 코로나19 바이러스 확진자 발생 관련 협조 요청 위장 공격 역시, 국내 비트코인 거래 관계자가 공격 대상에 일부 포함된 것으로 드러났다. 이처럼 해당 조직은 최근까지 한국 내 암호화폐 거래 관계자에 대한 공격을 지속하고 있다.

이밖에도 MS 오피스로 작성된 ‘한비관계와 외교안보’, 미국 항공우주기업 채용 관련 문서 등으로 위장한 문서도 발견됐다.

라자루스는 해외 기관과 기업을 공격할 때, 채용 의뢰나 직무기술서로 위장한 이메일로 공격을 수행한다. 지난해 1월 발견된 악성 파일의 이름은 ‘Job Description.doc’로, ESRC에서는 ‘극한 직업’이라는 의미의 ‘오퍼레이션 익스트림 잡(Operation Extreme Job)’으로 분석 보고서를 발표한 바도 있다.

ESRC 센터장인 문종현 이사는 “일명 라자루스 그룹은 한국과 미국 등을 대상으로 활동하는 대표적인 국가 차원 위협 요소 중 하나로, 사이버 침투 작전과 함께 온라인 은행, 비트코인 거래소 해킹 등을 통한 외화벌이를 조직적으로 수행하고 있다”며 “악성 문서 파일을 미끼로 주요 기업과 기관의 종사자들을 노리고 있고, 최근 위협 활동이 눈에 띄게 증가하고 있어 각별한 주의가 요구된다”고 밝혔다.

문 이사는 “라자루스 조직은 김수키(Kimsuky), 코니(Konni), 금성121(Geumseong121) 조직과 함께 수년간 대한민국 등을 상대로 다양한 APT 공격을 수행해 왔고, 이들 조직에 대한 체계적인 연구와 대응 노력이 중요하다”고 덧붙였다.

현재 알약에서는 새롭게 발견된 악성코드를 탐지명 ’Trojan.Downloader.DOC.Gen’, ‘Exploit.HWP.Agent’ 등으로 탐지 차단하고 있다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.