바이든 시대, ‘북한 비핵화 협상과 체제 안전 내용’ 담은 APT 공격 징후 발견
최근 ‘바이든 시대 북한 비핵화 협상과 북한 체제 안전 보장 문제’ 내용 문건으로 사칭한 악성 파일이 발견되어 각별한 주의가 필요합니다.
[그림1] 바이든 시대 북한 비핵화 내용 등으로 현혹하는 악성 문서 화면
새롭게 발견된 악성 파일은 마이크로소프트(MS) 워드 문서 형태로 유포되고 있으며, 이메일에 문서 파일을 다운로드할 수 있는 인터넷 주소(URL)를 기재해 수신자가 내려받도록 유도하는 방식입니다.
이 URL은 마치 국내 특정 포털 회사의 인터넷 주소처럼 비슷하게 위조되어, 수신자가 공식 사이트로 생각하고 의심 없이 위조 웹사이트를 통해 악성 문서를 내려 받도록 설계되어 있습니다.
만약 메일 수신자가 위조 웹사이트에서 악성 문서 파일을 내려받아 실행하면, 문서 내용이 바로 보이지 않고 상단에 보안 경고창이 나타나며 [콘텐츠 사용] 버튼을 클릭하도록 유도합니다.
이때, 버튼을 클릭하면 정상적인 문서 내용이 나타나지만, 실제로는 내부에 숨겨진 악성 매크로 명령이 순식간에 작동해 PC 정보를 해커가 지정한 서버로 전송하고 추가 원격제어 등의 해킹 피해로 이어질 수 있는 상태가 됩니다.
한편 [콘텐츠 사용] 버튼을 클릭하면 나타나는 문서에는 ‘미국과 북한의 비핵화 협상 제안과 회담 내용’ 등을 담고 있어, 관련 분야에서 활동하거나 관심을 가진 사람이 위협에 노출될 가능성이 높습니다.
이처럼 악성 문서 파일 기반으로 공격한 점을 미뤄볼 때, 이번 공격은 전형적인 스피어피싱 공격일 가능성이 높습니다.
분석 결과, ‘naver.midsecurity[.]org’ 서버를 통해 악성 워드 문서가 배포됐고, 정보 탈취 및 C2 명령제어 서버로 확인됩니다.
공격 단계별로 C2 서버와 통신을 수행하고, 감염된 컴퓨터 정보를 수집해 선별적으로 추가 명령을 내려보내는 수법이 활용됐습니다.
특히, 이번 공격에 사용된 고유한 통신 문자열(WebKitFormBoundaryA2D2gp2XzUyO0Qmi)과 공격패턴은 이전 탈륨 조직이 사용한 것과 유사성이 있는 것으로 확인되었습니다.
추가적으로, ‘바이든 시대 북한 비핵화 협상의 또 하나암초 - 북한 체제안전 보장문제.doc’ 제목의 파일을 분석한 결과, 현재 ‘http://naver.midsecurity[.]org/attache/index.php’에서 유포중이며, 문서 파일 내에는 매크로가 삽입되어있습니다.
[그림 2] 문서 실행 화면
매크로에서 mshta로 ‘naver.midsecurity.org/attache/20201112/’를 실행합니다.
[그림 3] VBA 코드
실행되는 스크립트는 컴퓨터 이름을 C&C(naver.midsecurity.org)로 전송 및 작업 스케줄러 등록합니다.
[그림 4] dn.php에서 추가 스크립트 실행하는 코드
현재 삽입된 C2로 접속할 시, 사이트는 구글로 포워딩되며 ‘Microsoft Office Update’ 이름으로 작업스케쥴러에 등록되어 1분마다 반복되도록 합니다.
[그림 5] 작업 스케줄러 등록 스크립트
[그림 6] 작업스케쥴러 화면
등록된 작업스케줄러를 통해 1분마다 mshta를 통해 서버에 위 삽입된 코드를 실행합니다. 이 스케줄러를 통해 ‘http://naver.midsecurity.org/attache/20201112’에 존재하는 스크립트가 실행됩니다.
이때 공격자는 현재 시간을통하여 새로운 작업스케줄러를 등록합니다.
추가 페이로드를 분석한 결과, ‘naver.midsecurity.org/attache/20201112/up.php’으로 감염 PC 정보를 전송합니다.
정보 수집 대상에는 ‘현재 실행 중인 프로세스 정보’, ‘컴퓨터 정보’, ’C:\Users 하위 폴더 및 파일 목록’이 포함됩니다.
[그림 7] 감염 PC 정보 전송
보안 기업 전문가에 따르면, 2020년 하반기의 보안 상태를 진단하는 과정에서 한국에서 탈륨 조직의 사이버 위협 수위가 예사롭지 않음이 확인되며 유사한 위협에 노출되지 않도록, 특별한 주의와 민관의 선제적 대응이 요구됩니다.
또한 이메일을 기반으로 한 스피어피싱 공격이 진화를 거듭하고 있고, 최근에는 정교한 이메일 공격에 더해 해킹으로 탈취한 계정의 대화에 은밀히 개입해 신분도용 기반 중간자 공격도 포착되고 있어 위협에 노출될 가능성이 매우 높은 것으로 확인됩니다.
현재 알약에서는 ‘Trojan.Downloader.DOC.Gen’ 으로 탐지 중입니다.