본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

북한 탈륨 그룹, 구글 블로그 이용한 해킹 공격 수행

보안공지 2021-07-02


 

 

최근 한국 공공기관을 노린 북한 연계 해킹그룹의 공격이 계속 발견되고 있는 가운데, 이번에는 김수키의 구글 블로그를 활용한 해킹 시도가 급증하고 있어 각별한 주의가 필요합니다.


[그림] 구글 블로그를 공격명령 거점으로 활용한 모습

 


지난 28일 수행된 이번 공격은 학술대회 참가 양식처럼 위장된 MS Word 문서 파일로 마치 보안 문서처럼 암호가 설정되어 있지만, 이는 보안 프로그램의 탐지를 회피하기 위한 목적으로 사용됩니다. 해당 문서는 전형적인 악성 매크로 기법이 적용돼 있고, ‘콘텐츠 사용’ 버튼을 허용할 경우 악성코드가 실행됩니다.

분석에 의하면, 악성코드가 작동하면 국내 중소기업의 홈페이지(daewon3765.○○○[.]com)와 1차 통신을 시도하고, 그다음 공격자들이 구축한 특정 구글 블로그와 2차 통신을 수행한 것으로 드러났습니다.

악성 문서는 국내 명령 제어(C&C)서버 통신을 통해 정상 파일처럼 위장한 ‘desktop.ini’ 파일을 생성하고, 시작 프로그램 폴더에 ‘iexplore.exe.lnk’ 바로가기 파일을 추가 은닉해 컴퓨터가 부팅 시마다 자동 실행되도록 함으로써 공격 지속성을 확보했습니다. 이후, ‘desktop.ini’ 파일은 공격자가 구축한 구글 블로그에 접속을 시도하는데, 이 코드가 사용자의 시스템 정보 유출을 담당합니다.

전송되는 정보에는 사용자 이름, OS 버전, 오피스 버전, 현재 실행 중인 프로세스 목록, 최근 사용한 문서 목록, 데스크톱 문서 목록 등이 포함되며, 수집된 정보는 국내 서버(daewon3765.○○○[.]com/about/post/info.ph)로 전송됩니다.

공격자들은 보안 관제와 탐지를 회피하기 위해 구글 공식 블로그(kaisjovtnal.blogspot[.]com)를 해킹 명령 거점으로 악용하는 등 갈수록 치밀한 수법을 동원하고 있습니다.

최근 포착된 유사 사례들을 종합 분석한 결과, 북한 당국의 지원을 받아 활동하는 해킹 조직 ‘김수키(탈륨)’는 외교·안보·통일·국방분야 종사자를 대상으로 지속적인 해킹 시도를 수행하고 있으며, 최근 보고되는 방위산업체 해킹 이슈도 동일한 조직이 수행한 것으로 지목됐습니다.

국책 연구원이나 방위산업체뿐만 아니라 민간분야 세미나 및 학술대회 참가 신청서 등으로 사칭한 탈륨 조직의 위협 캠페인이 급증하고 있어 유사 위협에 노출되지 않도록 민관 차원의 각별한 주의와 관심이 요구됩니다.  또한 공식 블로그를 명령제어 서버로 활용하는 공격 방식이 최근 여러 차례 목격되고 있어, 이에 대한 방어전략이 필요합니다.

현재 알약에서는 해당 악성코드를 Trojan.Downloader.DOC.Gen, Trojan.Agent.827680T 탐지 명으로 진단하고 있으며, 관련 상세 분석 보고서는 Threat Inside 웹서비스 구독을 통해 확인하실 수 있습니다.