본문 바로가기

탈륨 조직, 통일부 월간북한동향 문서 사칭 공격 수행

온라인 바카라공지 2021-03-11


온라인 바카라

최근탈륨(Thallium)조직소행으로분석된이메일해킹공격이발견돼,사용자의각별한주의가필요합니다.

새롭게 발견된 이번 APT 공격은 마치 통일부 이메일처럼 발신지를 정교하고 교묘하게 조작한 수법이 특징이며, 보낸 이에 '통일부 <nkanalysis@unikorea.go.kr' 주소가 포함돼 사용자가 실제 통일부에서 보낸 것으로 착각할 가능성이 매우 높습니다.

온라인 바카라
[그림 1] 통일부 월간 북한 동향 이메일 사칭 화면

공격자는발신지주소가통일부도메인처럼보이도록조작하기위해별도의이메일서버를구축한것으로분석됩니다.이메일본문에는통일부에서발행한것처럼표현된문서첫장의이미지가삽입되어있고,이미지하단에는통일연구원(KINU)문서가첨부되어있는것처럼URL링크가삽입돼클릭을유도합니다.


얼핏보기에통일연구원의조선노동당제8차대회분석자료가포함된것처럼보이는데,실제로는PDF첨부파일이아닌악성링크를활용한공격이고,링크를클릭하면문서가보이는대신이메일수신자의암호입력을요구하는화면이나타납니다.

이때암호를입력하게되면해당정보가공격자에게유출돼이메일내용이노출되는것은물론,계정을무단도용해주변지인에게후속공격메일까지발송되는등가해자로전락될우려가있습니다.또한암호가탈취된직후최대한해킹피해사실을인지하지못하도록통일연구원에서공식배포한문서를보여주는치밀함도엿보입니다.

다만,통일연구원공식웹사이트에등록된현안분석-온라인시리즈의제목은‘조선노동당제8차대회분석(2):경제및사회문화분야’의제목이사용된반면,해킹이메일화면에는‘조선로동당제8차대회분석(2)경제및사회문화분야’로사용된점이다릅니다.

온라인 바카라
[그림 2] 이메일 암호가 탈취된 후 보여지는 실제 PDF 문서 화면


이러한 위협은 작년 12월부터 계속 이어지고 있으며 명령제어(C2) 서버는 ‘naver.servehttp[.]com’, 'attach.ddns[.]net', 'bigfile-naver.servepics[.]com', 'naver.serveblog[.]net', 'cafe-daum.ddns[.]net' 등의 주소가 사용됐습니다.

탈륨조직은현재한국과미국등지에서활동하는APT그룹중가장활발한사이버첩보활동을전개하고있으며,최근북한제8차당대회내용을미끼로다수의공격을수행하고있으며,주로정치·외교·안보·통일과대북분야종사자를상대로지속적인해킹을시도하고있습니다.

ESRC는“정부주요기관으로사칭한교묘하고노골적인사이버위협이국지적으로활발하게진행되고있어,사이버공간의특성상위협식별이쉽지않아각별한주의와대비가필요하다”며,“코로나19영향으로기업과기관의재택근무추세와맞물려사이버위협수위도개인별로높아졌기때문에,온라인 바카라사각지대가없도록보다면밀하고빈틈없는온라인 바카라강화노력을해야할때다”라고당부했습니다.

또한“정교하고지능적으로조작된발신지사칭공격수법에속아최신위협에노출되지않도록최신위협사례에더많은관심과대비가필요하다”며,“공격자가단순개인이아닌북한당국차원에서체계적으로운용되고있기때문에,반드시국가사이버안보측면에서유관기관이함께해결방안을모색하고접근해야한다”라고덧붙였습니다.