본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

논문 심사 사례비 지급으로 위장한 북한發 해킹 공격 주의

보안공지 2022-10-12



'미·중 경쟁과 북한의 비대칭 외교전략 심사 논문'처럼 위장한 APT 공격이 잇따라 등장하고 있어 사용자들의 각별한 주의가 필요합니다. 

 

이번에 발견된 공격은 항공 및 외교·안보·국방 분야 교수진을 타깃으로 하며, 국내 특정 대학 학술지에 투고된 원고의 심사를 의뢰하는 형식으로 정상 논문 파일과 심사 의견서처럼 위장된 악성 문서가 공격에 활용 되었습니다. 

 

공격자는 공격 성공률을 높이기 위하여 단계별 신뢰 기반 전략을 구사하였습니다.

 

공격 초반에는 정상 내용으로 접근하며, 이후 이메일에 회신하는 등 관심을 보이는 대상자를 선별하여 악성 파일을 개별 첨부하는 방식을 사용하였습니다. 또한 일정 기간 시차 간격을 두고 후속 공격을 수행하는 치밀함을 보였습니다. 

​​

[그림 1] 대학 로그인 사이트로 위장한 피싱 사이트 화면


 

공격자는 관심을 보이는 대상자들에 한하여 후속 메일을 발송하며  피싱 사이트의 접속을 유도합니다.

 

공격자는 현직 교수 및 출신 대학의 공식 메일이나 개인용 무료 웹 메일 주소를 수집하여 피싱 공격에 사용하였는데, 대상자의 소속 대학별 이메일 로그인 디자인이 서로 다른 부분까지 고려하여 개별 맞춤형으로 사이트를 치밀하게 구축한 것이 주목할 만한 점 입니다. 

 

만일 사용자가 피싱 사이트에서 계정정보를 입력할 경우 입력한 계정정보 탈취와 동시에 정상 문서 파일을 내려주어 해킹임을 인지하기 어렵게 합니다. 

 

현재까지 고려대(cloud.kcrea.rf[.]gd), 경희대(files.khu.rf[.]gd), 경남대(clouds.kvongnum.rf[.]gd), 이화여대(ewha-cloud.epizy[.]com), 서강대(clouds.sogang.rf[.]gd) 등을 위장한 피싱 사이트가 발견되었습니다. 

 

[그림 2] 개인정보 이용 동의서로 위장한 악성 DOC 문서 파일 실행 화면


 

이후 공격자는 논문 심사 사례비 지급을 사유로 매크로가 포함된 '개인정보 이용 동의서' 이름의 워드 파일을 전달합니다.

 

만일 사용자가 '콘텐츠 사용' 기능을 활성화 한 후 정보를 기입하여 회신한다면, 개인정보 유출과 동시에 워드 파일에 포함되어 있던 매크로 코드가 실행되며 추가 악성행위를 시도합니다. 

 

ESRC 분석 결과, 공격에 사용된 피싱 서버의 호스팅 서비스와 공격 기법이 북한 정찰총국 연계 해킹 조직인  '페이크 스트라이커(Fake Striker)' 위협 캠페인과 일치하는 것으로 확인되었습니다. 

 

최근 논문이나 학술지 심사를 위장한 피싱 공격이 자주 발견되고 있으며, 이스트시큐리티에서도 관련 공격과 관련한 분석 보고서를 공개한 바 있습니다. 

 

이러한 공격 방식의 경우 교수 뿐만 아니라 교수 출신 고위 공직자들도 표적이 될 수 있으며, 사례비 지급 명목을 위장한 피싱 이메일에 속아 민감 개인정보까지 기대하여 전달할 경우 중요 정보가 공격자에게 유출되는 2차 피해로 이어질 수 있는 만큼 관련자들의 각별한 주의가 필요합니다. 

 

사용자 여러분들께서는 반드시 접속 페이지 url을 확인하시고, 낯선 이에게서 받은 문서파일 열람 시 [콘텐츠 사용] 기능을 활성화 하지 않아야 합니다. 

 

이스트시큐리티는 유사 피해 확산 방지를 위한 대응 조치를 한국인터넷진흥원(KISA) 등 관련 부처와 긴밀하게 협력하고 있습니다.