본문 바로가기

외교·안보·국방·통일 분야 전문가 대상 표적 공격 급증 주의보

바카라 나락공지 2021-04-21


바카라 나락

최근외교·안보·국방·통일분야에종사하는전문가나관계자를겨냥한이메일해킹시도가국내에서지속되고있어각별한주의가필요합니다.


바카라 나락
[그림1]설문지로사칭해이메일을보낸화면


국제사회에서 오래 전부터 북한 당국과 연계된 것으로 공식 언급되어 온 ‘탈륨’(Thallium)과 ‘라자루스’(Lazarus) 조직이 해당 공격의 배후 세력으로 지목되었습니다.

각 조직은 국내 특정 분야를 대상 삼아 은밀하게 사이버 위협 행위에 가담하고 있어 그 이면에 어떤 목적을 가진 것인지 의심스러운 상황입니다.

4월현재까지두조직의주요활동무대는한국의외교·안보·국방·통일분야이며,일부방위산업이나군사전문가들도표적에노출되는것으로관측됩니다.

공격은주로악성DOC문서를이메일에첨부해보내는전통적방식이성행하지만,수신자를현혹시키기위한위협시나리오가나날이정교해지고있습니다.

처음이메일에보내는설문지안내파일에는위협요소가없는정상문서를첨부해의심은낮추고신뢰도를높입니다.

이후회신할때20만원상당의사례금지급명목으로수신자심리를자극해악성문서열람을유도하는지능적투-트랙스피어피싱전략을구사했습니다.더불어악성문서에자체암호설정기능을적용해바카라 나락프로그램이탐지하지못하게계획한치밀한침투시도정황도포착됐습니다.

여러사례를종합적으로분석한결과,탈륨조직은스위스의프로톤메일(ProtonMail)서비스를공격에도입했습니다.

프로톤메일은스위스제네바에서2013년설립된종단간암호화이메일서비스로바카라 나락기능이높은것으로알려져있어주로랜섬웨어제작자들이비트코인요구나협상에사용하는대표적이메일서비스입니다.따라서프로톤이메일로평소와다른접근이목격된경우세심히관찰할필요가있습니다.

아울러라자루스조직은DOC문서파일내부에조작된PNG그림파일포맷의데이터를삽입하고WIA_ConvertImage매크로함수로BMP그림파일포맷으로변환합니다.이후내부에숨겨둔악성스크립트가호출되는새로운전략을펼쳤습니다.이른바이미지에몰래악성코드를은닉하는‘스테가노그래피(Steganography)’기법을구사했습니다.

이러한 공격에는‘참가신청서양식.doc’, ‘생활비지급.doc’등 여러 유사 사례가 포착되고 있는데,악성 매크로 기능[콘텐츠 사용]을 실행하기 위해 초기에 디자인한 가짜 화면에 특이하게‘프로그람’단어가 발견됐고,이후 보고된 변종에선 문구 자체가 변경됐습니다.하지만 악성 문서 작성자는 공통적으로‘William’이름이 동일하게 사용됐습니다.그리고 아래 명령 제어(C2)주소로 한국의 웹 사이트 일부가 악용돼,지속적 바카라 나락강화 조치가 요구됩니다.

- jinjinpig.co[.]kr/Anyboard/skin/board.php

- mail.namusoft[.]kr/jsp/user/eam/board.jsp

- snum.or[.]kr/skin_img/skin.php

- ddjm.co[.]kr/bbs/icon/skin/skin.php

바카라 나락
[그림 2] 프로그람 표현이 포함된 악성 문서 실행 화면

참고로 컴퓨터용 북한 말 중에‘프로그람’이라는 표현이 있는데,바로 프로그램(Program)을 의미하는 대표적 북한식 영어 표기입니다.

사이버 위협 배후를 조사하는데 있어서 지리학적 요소와 언어학적 분석은 중요한 근거로 작용합니다.평상시 사용하는 언어나 습관,문화적 차이로 인해 발생하는 흔적들은 증거 지표가 될 수 있습니다.

전문가에 따르면 최근 악성DOC파일을 이용한 스피어 피싱 공격이 기승을 부리고 있고,피해 대상자의 전문 분야에 따라 맞춤형 공격 시나리오를 적절히 구사하고 있으며,특히 북한 당국과 연계된 것으로 널리 알려진 탈륨,라자루스의 사이버 공격 수위가 함께 증대되고 있어 유사 위협에 노출되지 않도록 민관의 각별한 주의와 관심이 요구됩니다.

또한 기존에 널리 쓰이던HWP문서의 포스트스크립트(PostScript)취약점 대신 최근에는DOC매크로(Macro)공격이 상대적으로 우위를 점하고 있지만,종종HWP문서 내부에 악성OLE개체를 삽입하는 방식도 관찰되고 있어,반드시 최신 버전의 오피스 프로그램을 사용하고 바카라 나락 기능을 상향 설정하는 것이 중요합니다.

현재 이스트시큐리티 알약(ALYac)에서는APT공격에 사용된 악성코드 샘플을'Trojan.Downloader.DOC.Gen'으로 탐지 중입니다.