외교안보 학술회의 토론 주제 사칭한 北 연계 해킹 바카라 룰 주의!

남북외교안보학술회의토론주제와발제문요청처럼위장한북한연계해킹바카라 룰이등장하여사용자들의각별한주의가요구됩니다.

이번바카라 룰은국내외교·안보·통일분야종사자를겨냥한것으로보이며,다가오는학술회의나연말행사참석대상자로하여금일정문의나자료요청처럼현혹해이메일로접근한것으로확인되었습니다.

초기에 바카라 룰자는 일반 문의처럼 평소 흔하게 접할 수 있는내용의 이메일을 발송하였는데,이때 별도의 첨부파일이나 URL링크를 의도적으로 넣지 않았습니다. 이후 해당 메일에 회신 등 관심을 보인 인물만 선별하여 추가 바카라 룰을 진행하는 이른바 투-트랙 스피어 피싱(Spear Phishing) 바카라 룰을 수행했습니다.

이러한 바카라 룰 방식은 바카라 룰 타깃의 의심을 피하려는 의도를 갖고 있습니다. 일반적으로 침해사고 예방 교육을 받거나 해킹 모의훈련 참여 경험이 있는 사람의 경우, 이메일 내 파일이 첨부되어 있거나 링크가 포함되어 있다면 악성 여부를 의심하여 열어보지 않거나 사내 보안팀에게 전달하는 경우가 많습니다. 하지만 별다른 내용이 없을 경우 의심없이 쉽게 믿고 이메일을 열람하고 회신하기 때문에 이러한 보안 심리와 문제 의식을 교묘히 파고드는 전략을 구사한 것입니다.

바카라 룰자는 선별된 바카라 룰 대상에 대해 추가로 특정 연례학술회의 발제문 요청처럼 사칭해 악성 파일을 전달하며, 악성 파일은 ‘바로가기(LNK)’ 파일이지만 정상 PDF 문서처럼 보이는 2중 확장자명을 사용하여 바카라 룰 타깃의 실행을 유도하였습니다.

윈도우의 폴더 내 파일확장명 속성이 기본적으로 비활성화 되어 있어, 따로 설정을 변경하지 않으면 [중요 자료.PDF.LNK] 와 같이 2중 확장자 명을 가진 파일이 사용자에게는 [중요자료.PDF] 처럼 PDF 파일로 보여지는 원리를 악용한 것입니다.

해당 ‘바로가기(LNK)’ 파일의 속성을 살펴보면, 실행 대상 명령어에 ‘mshta.exe’ 프로그램을 통해 특정 웹 서버(ark6835.scienceontheweb[.]net)로 은밀히 통신을 시도하는 명령이 포함돼 있습니다.

새로식별된거점서버는이미국내침해사고사례에서대표성을가지며,지속포착중인‘웹프리호스팅’도메인으로생성됐고,유사한북한연계해킹바카라 룰에서꾸준히발견되는곳중하나라는점이주목할만한점입니다.

바카라 룰자가구축한본진서버와통신이이뤄지면,추가스크립트및파워셸명령에따라사용자컴퓨터환경과내부프로그램정보등을조회수집해탈취를시도합니다.이때새로운서버(cimoon.scienceontheweb[.]net)가식별됐는데,‘cimoon’키워드의경우국내침해사고에서종종보고되며,특정인물의아이디로알려져있습니다.

분석결과바카라 룰자는피해자의의심을최소화하기위하여피해자의로컬환경에존재하는악성LNK파일이작동후개인정보가유출될경우해당LNK파일을삭제하고,정상PDF문서로교체하는명령까지준비하는등명령서버에치밀한준비를해둔것으로확인되었습니다.

또한서버에여러파일들이존재했던것으로분석되었는데,이는바카라 룰자가다양한형태의바카라 룰을준비한정황으로볼수있습니다.바카라 룰자는대용량첨부파일링크를통해정상PDF문서로교체를시도했지만,링크클릭시점에따라파일이정상적으로받아지지않을수도있습니다.

바카라 룰자들은LNK악성파일을이메일에첨부할때확장명이보이지않도록하기위해보통ZIP이나RAR등으로압축하므로,압축을해제하기전에압축파일내부의파일목록을먼저살펴보고실행하는것이해킹바카라 룰을예방하는데큰도움이됩니다.

우리나라는북한배후및소행으로지목된사이버안보위협이일상화된지오래됐고,정치사회적이슈나혼란을틈타바카라 룰을감행하는것을명심해야합니다.

연말연시의들뜬분위기를노린경우와송년회,학술대회등을사칭한바카라 룰이지속될수있는만큼사용자들의각별한주의를권고드립니다.

이스트시큐리티는 새롭게 발견된 악성 파일의 탐지 기능을 자사 알약(ALYac) 제품에 긴급 업데이트 하였으며, 현재 한국인터넷진흥원(KISA) 등 관련 부처와 유사 피해 확산 방지를 위해 면밀히 협력하고 있습니다.