시큐로닉스 “APT37 유사한 기법 사용하는 공격자, 한국 쇼핑몰 감염시켜”
[데이터넷] 북한이 배후에 있을 것으로 의심되는 사이버 공격자들이 ‘미군 모집 공고’ 내용으로 우리나라 전자상거래 사이트를 감염시키고, 공격에 이용하는 것으로 알려졌다. 감염된 웹사이트는 공격 트래픽과 정상적인 트래픽을 섞어서 탐지를 피하도록 했다.
글로벌 보안기업 시큐로닉스의 위협 조사팀(STR)이 ‘STARK#MULE’라고 명명한 이 캠페인은 ‘미군 구인공고 웹사이트 주소 및 사용방법 안내.zip’라는 악성파일을 이용한다. 악성파일에는 또 다른 압축파일이 포함돼 있으며 어색한 단어와 오타가 섞여 있어 공격자가 비영어권 사용자이거나 가짜 문서일 가능성이 제기된다.
STR이 발견한 피해 사이트는 음향·PC 관련 전자상거래 사이트로, HTTP 프로토콜만 사용하고 있으며, 바이러스토털을 포함한 블랙리스트 웹사이트에 악성으로 표시되지 않는다.
STR은 이들의 공격방식이 APT37과 유사한 면이 있다고 강조하면서 사용자와 기업의 각별한 주의를 요구했다. 특히 외부에서 온 신뢰도가 낮은 첨부파일, ZIP 파일을 열지 말고, 알 수 없는 바이너리의 실행을 제한하는 애플리케이션 화이트리스트 정책을 구현할 것을 당부했다.
저작권자 © 데이터넷 무단전재 및 재배포 금지
