北 연계 사이버 위협 조직 탈륨, PDF 문서 취약점 이용한 공격 수행
최근 악성 PDF 문서를 이용한 새로운 APT(지능형지속위협) 공격이 국내에서 지속 발견돼, 각별한 주의가 필요합니다.
분석 결과, 이번 PDF 취약점 공격은 지난 5월경부터 8월 현재까지 국내 외교, 안보, 국방, 통일 분야 전·현직 종사자 등을 상대로 은밀한 해킹 공격에 사용되고 있던 것으로 확인되었습니다. 공격자들은 최근까지 DOC 워드 문서의 매크로 기능을 악용한 감염 기법을 주로 활용했는데, 최근에 PDF 취약점을 이용한 방식으로 변화를 시도한 것으로 나타났습니다.
이번 PDF 취약점 공격에 사용된 기술과 전략을 심층 분석한 결과, 위협 배후는 북한 연계 해킹 조직 ‘탈륨’인 것으로 추정됩니다. 이들 조직은 최근까지 국내 장차관 급을 역임했던 고위급 한국 정부 인사 등을 상대로 지속적 해킹 시도를 수행했으며, 이번 PDF 취약점 공격 역시 동일한 ‘페이크 스트라이커(Fake Striker)’ 위협 캠페인의 연장선으로 보입니다. 이들은 지난 2021년 한미 정상 회담 기간 중에도 외교·안보·통일 및 대북 분야 전문가를 상대로 해킹을 시도한 것으로 확인된 바 있지만 주로 DOC 문서가 악용됐고, 지금처럼 PDF 취약점을 활용한 사례는 이번이 처음입니다.
이러한 PDF 취약점은 은밀한 공격에 사용 중이라, 외교·안보·국방·통일 분야 전문가들의 각별한 주의와 대비가 필요하며, 보통 PDF 문서는 안전하다는 인식이 있어 신속하게 위험 가능성을 전파할 필요가 있습니다.
아래 그림은 PDF 악성 문서에 포함된 스크립트 명령어 화면 중 일부입니다.
PDF내부에은닉된스크립트코드가작동되면,Base64형식으로인코딩된Shellcode명령이실행되고,분리된코드단위로은밀하게숨겨져있는악성페이로드파일이호출됩니다.또한,공격자들은분석환경을회피하기위해레지스트리키를통해가상(VMware)환경여부를파악하고,현재사용 중인프로세스목록을비교하여특정국내바카라 드래곤프로그램도조회하는치밀함도보였습니다.
악성 파일은 ‘tksRpdl.atwebpages[.]com’ 명령제어(C2) 서버와 통신을 시도하며, 공격자가 지정한 명령을 순차적으로 실행하고, 조건에 따라 추가 악성 파일을 설치해 민감한 개인정보 탈취 및 원격제어 등을 시도합니다. 또한 C2 도메인 주소에 사용된 영문자 알파벳을 한글 키보드로 변환하면, ‘산께이(tksRpdl)’라는 일본식 단어로 변환되며, 사시미(tktlal)라는 표현의 도메인도 사용되었습니다. 그리고 탈륨 조직의 유사 공격에서 여러 차례 목격된 ‘WebKitFormBoundarywhpFxMBe19cSjFn’ 통신 문자열이 이번 공격에서도 동일하게 발견되었습니다.
페이크스트라이커(FakeStriker)로분류된이번탈륨조직의APT공격캠페인은국내전현직장차관급유력인사와함께대북연구분야고위관계자를집중적으로노리고있으며,기존에유행했던DOC악성문서형태와더불어PDF취약점을활용한공격도가세하고있어PDF파일을이메일로전달받을경우세심한주의와대비가요구됩니다.
현재알약에서는해당악성코드를Trojan.Agent.208091A,Trojan.Downloader.81409탐지 명으로 진단하고 있으며, 관련 상세 분석 보고서는 Threat Inside 웹서비스 구독을 통해 확인하실 수 있습니다.