보안 기업 이스트시큐리티(대표 정상원)는 대표적인 지능형지속위협(APT) 공격 조직 코니의 스피어 피싱 공격 시도가 올해 들어 새로 포착됐다고 17일 밝혔다.
새롭게 발견된 APT 공격은 이메일에 악성 DOC 문서 파일을 첨부한 것으로 추정된다. 스피어 피싱에 활용된 악성 문서 2종은 지난 14, 15일에 작성된 것으로 분석됐다.
공격에 활용된 악성 DOC 문서 파일 2종은 파일을 저장한 사람의 이름이 ‘Georgy Toloraya’로 동일하다. 내부 코드 페이지가 한국어 기반으로 제작된 것도 특징이다. 문서 파일은 러시아어로 작성돼 있으며, 올해 북한 정책과 일본 패럴림픽 관련 내용을 담고 있다.
특히 패럴림픽 관련 문서의 파일명은 실존하는 자선 단체 킨즐러 재단(Kinzler Foundation)을 사칭, 문서를 열어보도록 유도하고 있다.
공격에 활용된 악성 매크로 코드는 과거 코니 조직이 활용했던 매크로와 거의 유사하게 만들어졌으며, 악성 문서 파일 구조도 흡사한 것으로 드러났다. 공격자는 보안 탐지와 분석 등을 회피하기 위해 커스텀 베이스64 코드 방식을 적용했는데, 이 점도 지난해 9월 코니 그룹의 러시아-북한-한국 무역, 경제 관계 투자 문서를 사칭한 공격 기법과 일치한다.
이메일을 수신한 사용자가 문서 내 '콘텐츠 사용' 버튼을 클릭하게 되면, 내부에 포함된 악의적 VBA 코드가 활성화되면서 정상적인 문서 내용을 보여줌과 동시에 악성코드가 실행된다. 악성코드에 감염되면 공격자가 임의로 지정한 FTP 서버로 사용자 PC 시스템의 주요 정보를 등록하고, 공격자의 추가 명령에 따라 원격제어가 가능한 RAT 감염 등 2차 피해로 이어질 수 있다.
문종현 이스트시큐리티 시큐리티대응센터(ESRC) 이사는 “올해 코니와 김수키 조직 간의 공통점이 발견된 사례가 있었던 만큼 두 조직에 대한 지속적인 연구가 필요하다”며 “특히 북한 관련 주제를 활용한 코니 조직의 APT 공격이 꾸준히 이어져 왔으며 새해에도 코니 조직의 활동이 새롭게 포착된 만큼, ESRC에서는 집중 모니터링을 강화하고 변종에 대한 대응을 철저히 진행하고 있다”고 말했다.
관련기사
- 이스트시큐리티, 4분기 랜섬웨어 20.7만건 차단2020.01.17
- "크리스마스·연말 노린 악성 메일 공격 주의"2020.01.17
- "해커그룹 '코니', 남·북·러 무역 문서 사칭 악성파일 유포"2020.01.17
- "해커 그룹 '코니', 북한 '김수키'와 연관성 깊어"2020.01.17
이스트시큐리티 백신 솔루션 '알약'에서는 관련 문서 파일을 차단, 치료하고 있다.
ESRC는 이번 공격에 대한 추가 분석이 완료되면, 관련 내용을 자사의 위협 대응 솔루션 ‘쓰렛 인사이드’와 알약 공식 블로그를 통해 제공할 예정이다.
