[데이터넷] 외신 인터뷰 요청으로 위장해 악성 파워셸 명령어를 실행하는 APT 공격이 발견됐다. 지니언스 시큐리티센터(GSC)는 HWP 문서 오브젝트 연결 삽입(OLE)을 악용하는 북한 배후 라자루스 그룹의 하위 조직인 ‘플라워파워(FlowerPower)’가 이 캠페인을 수행하고 있다고 밝혔다.

GSC에 따르면 싱가포르의 채널 뉴스아시아(CAN) 인터뷰 요청으로 위장한 이메일이 피해자에게 전달됐으며, 피해자가 이에 응하면 서면 인터뷰 질문지로 위장한 악성문서 파일을 전달한다. GSC가 분석한 이메일은 ‘북한 핵 위협 양상과 한국 대응 방향’이라는 주제의 인터뷰 요청이었다.

인터뷰 질문지는 비밀번호가 설정돼 있었으며, 수신자에게만 비밀번호를 알려줘 첨부문서를 열어서 악성 여부를 확인하는 보안 탐지를 회피했다. 비밀번호를 입력하고 문서를 열면 12개의 질문이 보여지며, 질문에 답하기 위해 답변 란을 클릭하면 숨어있는 하이퍼링크가 작동해 악성파일이 작동된다. 이 파일은 공격자가 구축한 깃허브 리포지토리의 특정 파일로 통신을 시작한다. 공격자가 C2로 사용한 깃허브는 현재 차단된 상태다. 

GSC는 지난해 10월부터 CAN PD를 사칭한 공격이 계속 이어져왔다고 설명했다. 당시에는 HWP 파일 대신 CAN[Q].doc 파일명으로 공격했으며, 한국에서 인터뷰가 진행될 무렵 코로나 감염을 핑계로 연기하면서 피해자의 의심을 피하기도 했다.

지니언스는 전문가 맞춤형 이메일과 파워셸과 같은 파일리스 공격이 늘어나며 위협 가시성을 확보할 수 있는 EDR이 필수 솔루션이 되고 있다고 설명하면서 ‘지니안 EDR’이 보안 탐지를 우회하는 지능적인 위협에 대응할 수 있다고 설명했다. 지니안 EDR은 단말 가시성과 이상행위 탐지 기능으로 새로운 APT 공격도 신속하게 파악해 내부 확산을 막을 수 있다.

김선애 기자 다른기사 보기