북한배후 TA444, 실험정신 가득한 새로운 공격 시도
상태바
북한배후 TA444, 실험정신 가득한 새로운 공격 시도
  • 김선애 기자
  • 승인 2023.01.27 10:34
  • 댓글 0
이 기사를 공유합니다

지난해 가상자산 10억달러 탈취
마케팅 도구 이용해 악성링크 접속 유도…새로운 공격방식으로 해킹 수익 올려

[데이터넷] 국가기반 공격그룹의 ‘유니콘’이 등장했다.

프루프포인트는 지난해 가상자산 탈취 공격을 저질러 온 북한 해커 조직 TA444를 분석한 보고서를 발표하며 이같이 설명했다. TA444는 2017년부터 가상자산을 타깃으로 활동해왔으며 지난해 하반기부터 다양한 감염 경로를 개척하면서 ‘유니콘’으로 부상했다. 프루포포인트는 이들이 자금과 조직 충성도에 있어서 스타트업의 문화를 답습하고 있다고 설명했다.

이들은 바로가기(LNK) 형식, 원격 템플릿을 이용한 문서 등을 이용했는데, 지난해부터 매크로, MSI 인스톨러, 가상 하드 드라이브(VHD), MoTW 우회 ISO, CHM 등 다른 멀웨어 전달 방법을 사용을 것으로 분석된다. 프루프포인트는 TA444 운영조직에 악성코드나 전용 임베디드 개발조직을 갖추고 있다고 추정했다.

이들은 악성링크를 클릭하도록 하기 위해 다양한 마케팅 전략을 사용하면서 연간반복수익(ARR) 창출률을 높인다. 타깃 상대가 관심을 갖거나 필요로 할 콘텐츠를 만드는데, 가상자산, 블록체인, 스카우트 제안, 급여 조정 등 다양한 내용을 담는다.

이들은 센드인블루(SendInBlue), 센드그리드(SendGrid) 등 마케팅 도구를 이용해 타깃에게 접근했다. 이 도구는 클라우드 호스트 파일이나 TA444 인프라 접속을 유도하기 위해 페이지 전환용으로 사용한다. 이 링크를 사용하면 사용자가 알 수 없는 링크에 접속하는 것 처럼 보이지 않으며, 피싱탐지 기술에 적발될 확률도 낮춘다. TA444는 타깃 대상의 소셜 미디어를 모니터링하고, 링크드인을 활용했으며, 영어, 스페인어, 폴란드어, 일본어 등을 사용했다.

▲급여 조정을 빌미로 타깃 상대의 클릭을 유도하는 TA444 발송 이메일 예시
▲급여 조정을 빌미로 타깃 상대의 클릭을 유도하는 TA444 발송 이메일 예시

유효한 DMARC·SPF 적용

이들은 검증된 공격방법이 아니라 새로운 공격방법을 사용하기도 했다. 프루프포인트가 지난달 초 발견한 것 중 하나가 오자로 가득한 원드라이브 피싱 메일이 미국, 캐나다의 금융, 교육, 정부, 보건 관련 기관에 발송됐다. 이 메일은 수신자가 센드그리드 URL을 클릭하도록 유도하고, 클릭 시 정보수집 페이지로 이동했다. 이 때 발송된 이메일이 2022년 발송한 총 이메일의 2배에 이르렀기 때문에 프루프포인트는 TA444가 새로운 시도를 하는 것으로 감지하고 정밀한 분석을 시작했다고 설명했다.

이들이 발송한 이메일은 유효한 DMARC, SPF를 적용하고 있어 이메일 발송자가 해당 도메인을 제어하고 있는 것으로 보인다. 프루프포인트는 이들이 자체적이 부가수입 창출활동을 개시했을 가능성이 있으며, 향후 가상자산 거래소 외에 변형된 공격으로 다른 타깃을 찾을수 있을 것으로 진단했다.

프루프포인트는 TA444가 공격력있고 기민한 그룹이며, 수백억달러 규모의 피해자를 양산할 능력과 의지를 갖고 있다고 분석했다. 이들과 연계된 조직은 2021년 4억달러에 달하는 가상자산과 관련 자금을 갈취했을 것으로 추산되며, 지난해 10억달러 이상 탈취한 것으로 알려진다. 이들은 가상자산 폭락장을 버티고 정권자금 확보 수단으로 활용하려고 한다.

그렉 레스뉴이치(Greg Lesnewich) 프루프포인트 수석 연구원은 “암호화폐에 대한 스타트업 정신과 열의를 가진 TA444는 북한 정권의 현금 자금을 창출하고 있는 조직이다. 이 위협 행위자는 새로운 공격 수법을 신속하게 고안해내고 부가수입 창출원(moonlighting operations) 소셜미디어도 활용하고 있다. 2022년 TA444는 암호화폐 부문에 한층 더 집중했고, 수입원 추가 창출을 위해 다양한 감염경로를 시험하여 사이버범죄 생태계를 모방하고 있다”며 “최근 TA444 활동은 수법의 변형을 통해 해킹 수익을 끌어올리려는 조직의 의지를 잘 보여준다. 의도성이 없더라도 결과적으로는 각종 신규 서비스가 이러한 활동에 도움을 줄 것”이라고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.