[데이터넷] 국내 북한 인권 분야 단체장을 사칭해 다른 대북분야 사업에 관한 정보를 수집하는 북한배후 공격그룹 APT37의 활동이 포착됐다.

지니언스의 ‘위협분석보고서: 북한인권단체를 사칭한 APT37 공격사례’에 따르면 이들은 국내 북한인권과 교육분야 단체장을 사칭, 유관단체 업무협조를 가장한 이메일을 대북분야 사업 대표에게 발송했다.

공격자는 공격대상에 대한 사전조사를 통해 피해자가 신뢰할 수 있는 사람으로 사칭했으며, 메일의 주요 내용 역시 피해자와 상호 알고 있던 내용이나 관심을 가질 수 있는 내용으로 위장했다.

공격에 사용된 이 메일에는 ‘이력서 모음.zip’ 파일이 첨부돼 있으며, 압축파일에 악성코드가 포함되지 않은 hwp 문서와 바로가기(lnk) 파일이 있으며, lnk에 임베디드 돼 악성코드가 숨은 hwp 파일이 있다. 두 가지 hwp 문서는 다른 인물의 이력서 내용으로 작성돼 있고, 탈북민 관련 단체 지원 내용을 담고 있다.

보고서에서는 “바로가기 파일을 이용하는 것이 새로운 기법은 아니지만, 이번에 발견된 것은 바로가기 코드 내부에 별도의 악성 스크립트와 정상 문서를 내장해 피해자를 속였다는 점이 주목할만하다. 이와 같은 지능화된 공격 수법이 성행하고 있으므로 이메일 첨부파일 열람시 확장자를 세심히 살펴봐야 한다”고 설명했다.

피해자가 1차 공격에 감염되지 않으면 후속 공격으로 doc 문서를 전달한다. 실명으로 추정되는 이름을 제목으로 한 doc 파일은 열어봤을 때 별다른 내용이 없지만, MS 오피스 버전과 설정에 따라 상단에 보안 경고 메시지와 [콘텐츠 사용] 버튼이 나타나며, 이를 클릭하면 악성매크로가 실행된다.

APT37은 북한정권을 위한 정보수집 활동을 주로 하며, 국내 공공·민간분야 다양한 사람들을 대상으로 공격한다. 과거에는 과거에는 HWP 문서 취약점, 플래시 플레이어 취약점 등을 이용했으며, 이메일 기반 스피어피싱, 웹 기반 워터링홀, SNS 또는 토렌트 사이트를 이용한 무작위 침투, 안드로이드 스마트폰 이용자 대상 공격도 벌인다. 보안솔루션 탐지를 우회하기 위해 문서 포맷에 악성코드를 삽입하거나 LNK 파일에 악성코드를 은닉한다.

미국과 러시아의 공개된 클라우드 서비스를 C2 서버로 활용, 블랙리스트 방식의 C2 제어 기술을 무력화한다. 특히 이들은 클라우드 서버 내 악성파일 링크를 정상 파일로 변경해 피해자가 메일 수신 후 보안솔루션이 메일의 악성 여부를 분석하는 시점에는 정상 파일로 보이게 하고, 분석이 끝난 후 다시 악성링크를 활성화시켜 공격한다.

한편 지니언스는 지능화되는 악성메일 공격에 ‘지니안 EDR’로 대응할 수 있다고 설명한다. 지니안 EDR은 탐지 시각에 따른 위협 이벤트를 조회해 우회공격을 탐지하고, 스테가노그래피, 파워셸 파일리스 기법도 분석해 위협을 정확하게 식별할 수 있다. 스토리 라인을 통해 유입된 위협 활동을 인지하고 위협 상황 전체의 가시성을 확보하고 해석할 수 있다.

김선애 기자 다른기사 보기