검색

'학술 자료집'인 줄 알았는데…북한 추정 해킹이었다

입력 :

인쇄 메일 url 공유 - +

실제 학술행사 사칭한 스피어피싱…연구·정책 종사자 노려
PDF 위장 실행파일에 악성코드…APT37 소행 가능성

실제 학술 컨퍼런스 자료집을 사칭한 이메일로 관련 연구자와 정책 종사자를 노린 해킹 공격이 최근 포착됐다.

피해자가 자료집을 열람하는 동안 악성코드가 백그라운드에서 몰래 실행되는 수법으로, 북한 배후 해킹 조직인 APT37의 소행일 가능성이 높은 것으로 분석됐다.

실제 학술 컨퍼런스 자료집을 사칭한 이메일로 관련 연구자와 정책 종사자를 노린 해킹 공격이 한 배후 해킹 조직인 APT37의 소행일 가능성이 높은 것으로 분석됐다. 게티이미지뱅크
실제 학술 컨퍼런스 자료집을 사칭한 이메일로 관련 연구자와 정책 종사자를 노린 해킹 공격이 한 배후 해킹 조직인 APT37의 소행일 가능성이 높은 것으로 분석됐다. 게티이미지뱅크

13일 지니언스[263860] 시큐리티 센터에 따르면 최근 APT37로 추정되는 공격자가 원격 접근 트로이목마(RokRAT) 변종 악성코드를 유포한 정황이 확인됐다.

◇ 실제 학술행사 정보 도용해 정상 이메일로 위장

공격자는 지난달 22일 연구·정책·학술 분야 종사자들에게 이메일을 발송했다. 같은 달 12일 서울 코엑스에서 열린 '왜 지금 원산갈마 관광인가?' 학술 컨퍼런스의 자료집을 보내겠다는 내용이었다.

실제 개최된 행사의 명칭과 주최기관 정보를 도용하고, 통일 분야 기업인 것처럼 꾸민 발신자 정보를 활용해 수신자가 정상적인 업무 연락으로 받아들이도록 유도한 것이다.

이메일에는 PDF 자료집이 첨부된 것처럼 보이는 드롭박스 클라우드 다운로드 링크가 포함됐다. 해당 링크를 클릭하면 ISO 이미지 파일이 내려받아지는데, 그 안에는 PDF 문서처럼 꾸민 실행파일이 담겨 있다.

파일을 실행하면 화면에는 실제 학술행사 자료집 내용이 표시되지만, 백그라운드에서는 악성코드가 함께 구동되는 구조다.

별도의 악성 프로세스를 생성하지 않고 정상 프로세스 내부에서 동작하기 때문에 사용자가 감염 사실을 인지하기 어렵고, 일부 보안 제품의 탐지도 우회할 수 있는 것으로 파악됐다.

최종 실행되는 악성코드는 RokRAT 변종으로 확인됐다. RokRAT은 APT37이 주로 활용하는 악성코드로, 감염 시스템의 정보를 탈취하고 원격 명령을 수행하는 기능을 갖추고 있다.

이번 변종은 정상 클라우드 서비스를 명령제어(C2) 채널로 삼고, 구글 검색 엔진 봇으로 위장한 트래픽을 활용하는 등 네트워크 탐지망도 피할 수 있도록 설계됐다.

스피어피싱 이메일 화면. 지니언스 제공
스피어피싱 이메일 화면. 지니언스 제공

◇ 지니언스 "행위 기반 탐지 체계 갖춰야"

지니언스 시큐리티 센터는 이번 공격이 APT37의 소행일 가능성이 높다고 평가했다. 동일 계정과 코드 구조, 클라우드 C2 운용 방식 등에서 높은 유사성이 확인됐다는 설명이다.

또한 하나의 실행파일 안에 정상 문서와 악성 페이로드를 함께 담아 은닉하는 방식에서 착안해 이와 같은 공격 전략을 'Operation Capsule Vault(캡슐 은닉 작전)'으로 명명했다.

지니언스 측은 "실제 학술행사 정보를 악용한 사회공학 기법과 다단계 페이로드 구조를 결합해 탐지 회피 능력을 한층 강화했다"며 "침해지표(IoC) 기반 탐지와 함께 스피어피싱·클라우드 기반 통신 등 공격 전 과정을 연계해 탐지하는 행위 기반 대응 체계를 갖춰야 한다"고 강조했다.

<연합>


오피니언

포토

차정원, 직각 어깨 드러낸 '올블랙룩'
  • 차정원, 직각 어깨 드러낸 '올블랙룩'
  • 모모, 인형 비주얼
  • 장원영, 침대 위에 여신이 내려왔네…빛나는 미모
  • ‘있지’ 유나, 빛나는 미모