'북한 코로나19 상황 인터뷰 문서' 사칭 악성 파일 발견…APT 공격 주의
'북한 코로나19 상황 인터뷰 문서' 사칭 악성 파일 발견…APT 공격 주의
  • 변은영
  • 승인 2020.05.29 19:10
  • 댓글 0
이 기사를 공유합니다

전미북한위원회(NCNK) 코로나19 바이러스 인터뷰 위장 문서 내용ⓒ이스트시큐리티

 

통합보안 기업 이스트시큐리티는 미국 내 북한 문제 전문가 포럼인 '전미북한위원회(NCNK)'의 코로나19 바이러스 관련 인터뷰 문서로 사칭한 악성 파일이 국내에서 발견되어, 각별한 주의가 필요하다고 5월 29일 밝혔다.

발견된 악성 파일은 MS워드(MS-Word)의 DOC 문서 형식이며, 파일명은 'My Interview on COVID-19 with NCNK.doc'로 지난 5월 26일 제작됐다.

이스트시큐리티 ESRC(시큐리티대응센터)는 이번 공격의 기법이 특정 정부가 연계된 것으로 알려진 일명 '김수키(Kimsuky)' 조직이 사용한 APT(지능형지속위협) 공격과 동일하며, 기존 보고된 바 있는 스모크 스크린(Smoke Screen)' 위협 캠페인의 연장선으로 분석했다.

또한 이번 공격에 사용된 악성 문서에는 북한 내 코로나19 바이러스 확산 상황과 국제 NGO 단체의 지원 여부 내용 등이 담겨있으며, 이는 실제 전미북한위원회(NCNK, THE NATIONAL COMMITTEE ON NORTH KOREA) 공식 홈페이지에 등록된 내용을 무단 도용한 것으로 보인다.

이메일 수신자가 이러한 내용에 현혹돼 악성 파일을 열어보게 되면 마치 보호된 MS 워드 영문 문서 화면처럼 위장된 문서가 나타나고, 문서 확인을 위해 상단에 보이는 매크로 버튼 클릭을 유도한다.

만약 콘텐츠 사용 버튼을 클릭해 악성 매크로를 실행할 경우, 해커가 지정한 서버로 접속해 추가 명령을 수행한다. 또한 마이크로소프트의 클라우드 스토리지(저장소) 서비스인 'OneDrive'라는 이름으로 윈도 작업 스케줄러에 악성 트리거(Trigger)를 등록해, 3분마다 무한 반복으로 한국 소재 특정 교육원 서버로 접속을 시도한다.

해당 명령 제어(이하 C2) 서버와 정상적 통신이 이뤄지면 김수키 조직의 대표적인 스모크 스크린 캠페인과 동일한 단계별 PHP 명령을 수행하고, 이후 C2 서버 명령을 통해 감염된 PC의 각종 정보를 은밀히 탈취한다.

특히 이번 공격은 윈도 작업 스케줄러 예약을 통해 악성 파일을 사용자 PC에 저장하지 않는 파일리스(Fileless) 기법처럼 작동하기 때문에, 악성 코드 감염 여부를 신속히 탐지하거나 식별하기 어려울 것으로 예상된다.

 

(데일리팝=변은영 기자)