침해사고/위협동향

김수키 조직, 비건 미 국무부 부장관 서신 위장한 APT 공격 시도

이종현
DOC의 '콘텐츠 사용'을 클릭하면 악성코드에 노출된다.
DOC의 '콘텐츠 사용'을 클릭하면 악성코드에 노출된다.
[디지털데일리 이종현기자] ‘비건 미국무부 부장관 서신 20200302.doc’라는 파일명으로 지능형지속위협(APT) 공격을 하는 사례가 발견됐다. 이용자들의 주의가 필요하다.

이스트시큐리티 시큐리티대응센터(ESRC)는 비건 미국무부 부장관 서신을 사칭한 ‘스피어 피싱’ 공격이 발생하고 있다고 밝혔다. 이 공격은 지난 2월26일 ‘코로나 바이러스 관련 이사장님 지시사항’이라는 이메일 제목으로 악성 문서파일이 첨부된 스피어 공격과 동일한 ‘스모크 스크린’으로 보인다는 게 ESRC 측 설명이다.

ESRC는 해당 사이버 위협에 적용된 전략, 기술, 절차를 관찰한 결과 이들 배후에는 특정 특정 정부기관의 지원을 받고 있는 ‘김수키’ 조직이 있는 것으로 확신한다고 전했다. 최근 김수키 조직은 ‘HWP’ 취약점 문서보다 ‘DOC 워드’ 문서파일의 매크로 기능을 적극 활용하는 것으로 알려졌다.

이번 공격에 사용된 DOC 악성 문서파일은 기존 ‘코로나바이러스 대응.doc’의 매크로 허용 유도 디자인을 재활용했다.

이용자가 문서파일의 보안 경고창으로 ‘콘텐츠 사용’ 버튼을 클릭하게 되면 악의적인 웹사이트로 접속을 시도, 감염된 PC의 다양한 정보를 수집해 탈취하게 된다. 또한 추가 파일 다운로드 기능과 함께 사용자가 입력하는 키보드 내용을 저장해 유출하는 키로깅 스파이 기능도 수행하게 된다. 이 경우 사용자의 개인정보가 유출되는 피해로 이어질 수 있게 된다.

이스트시큐리티의 백신 솔루션 알약에서는 해당 악성코드에 대해 ‘Trojan.Downloader.DOC.Gen’ 등으로 탐지하고 있다. 유사 위협에 사용된 도구와 침해지표(IoC) 등을 ‘쓰렛 인사이드’ 위협 인텔리전스 리포트를 통해 제공할 계획이다.

<이종현 기자>bell@ddaily.co.kr
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널