외교안보 전문가 대상 표적 공격 급증 주의보 ‘탈륨’ 조직 연루
최근국내유명언론사,민간정책연구소,전문학회등을사칭해안보·통일·외교정책분야전문가를대상으로전방위적해킹시도가지속적으로수행되고있어각별한주의가필요합니다.
이번 해킹 공격 배후 세력으로는 2021년 상반기 연이어 발생하는 위협 그룹 중 가장 활발한 움직임을 보이고 있는 ‘탈륨(Thallium)’ 조직이 다시 지목되었습니다.
이번사건에연루된‘탈륨’은미국마이크로소프트(MS)로부터정식고소를당해국제사회에주목을받은해킹조직으로,한국에서는외교·안보·통일·국방전현직관계자를주요해킹대상으로삼아사이버첩보전활동을활발히전개하며,얼마전통일부를사칭한피싱공격도이들소행으로확인된바있습니다.
탈륨그룹은주로국내외교안보분야전문가로활동하는인물들을노리며,대북정책포럼이나유명안보단체처럼사칭해선별한특정인을대상으로논문이나기고문원고요청,학술회의세미나참석신청서,사례비지급의뢰서나개인정보이용동의서문서로위장한신규악성파일을첨부해전달하는방식으로공격을수행합니다.
보통활동분야나주제에따라현혹하기위한미끼용본문이달라지기마련인데,최근실제사례들을종합해본결과공통적으로이메일회신을요청하며,자연스럽게첨부된악성문서를열람하도록유도하는특징이발견되었으며특히,해킹이메일에속은수신자가회신할경우공격자는나름적극적으로답변하는등신뢰기반을동원한전술이갈수록과감하고노골적인양상으로진화하는모습을보이고있습니다.
기존에널리쓰이던HWP문서의취약점대신최근에는DOC워드문서공격이증가추세이고,악성매크로나원격템플릿실행을유도하기위해DOC가처음열릴때허위로조작된영문화면을먼저보여주고,[콘텐츠사용]버튼클릭을유도하는수법이성행하고있습니다.
분석 결과, 영문 유도 화면은 이미 해외에서 보고된 바 있는 ‘TA551’ 문서 템플릿과 유사한 사례도 있는데, ‘탈륨’ 조직이 모방한 것으로 추정되며, 공격에 사용된 명령 제어(C2) 서버는 yezu212.myartsonline[.]com, quarez.atwebpages[.]com 등이 사용되었습니다.
전문가들은 “최근 악성 DOC 파일을 이용한 스피어 피싱 공격이 기승을 부리고 있고, 피해 대상자의 해당 분야에 따라 맞춤형 공격 시나리오를 적절히 구사하고 있다”며, “특정 정부와 연계된 것으로 알려진 탈륨의 사이버 공격 수위는 갈수록 증대되고 있어 유사한 위협에 노출되지 않도록 민관의 각별한 주의와 관심이 요구된다”고 당부했습니다. 또한 “최근 공격자들이 사용한 명령 제어(C2) 서버들은 해외 호스팅을 사용하는 경우가 많지만, 간혹 국내 웹 서버를 사용하는 경우도 있어 서버 관리자의 정기적인 카지노 바카라 점검과 강화가 필요하다”고 덧붙였습니다.
현재 알약에서는 해당 악성코드를‘Trojan.Downloader.DOC.Gen’탐지명으로 진단하고 있으며, 추가 침해 지표(IoC)는웹서비스 구독을 통해 확인이 가능합니다.