북한 추정 공격그룹의 8월 작전명은 ‘로켓맨’

2024년 11월 25일 11:05

북한 추정 공격그룹의 8월 작전명은 ‘로켓맨’

한국, 중국 등의 보안 프로그램으로 위장해 악성코드를 유포한 바 있으며, 토렌트를 통해서도 악성코드를 배포하며 공격 기술이 계속 진화하고 있다.

	김현정 기자 /자유북한방송

최근 ‘로켓맨’으로 명명된 북한 추정 사이버공격 작전이 발견됐다. 본지가 지난 8월 14일 보도한 보안 프로그램으로 위장한 북한 추정 사이버공격이 바로 그것. 이번 공격은 스피어피싱 공격으로 2013년 전후부터 한국 등을 상대로 수년간 지속적으로 사이버 캠페인을 펼친 북한 추정 해커조직인 금성121이 주도한 것으로 조사됐다.

특히, 이번에 포착된 공격 폴더에서는 로켓(Rocket) 문구가 발견됐으며, 유사 침해사고 분석과정에 공격자 추정의 접속 로그에서 평양 IP까지 발견됐다.

금성121 그룹은 그동안 국내 기업을 타깃으로 워터링 홀(Watering Hole), 스피어 피싱(Spear Phishing), 소셜 네트워크 피싱(Social Network Phishing), 토렌트 피싱(Torrent Phishing) 등의 공격을 펼친 것으로 알려져 있다.

특히, 직접적으로 감염을 유도하는 첨부파일을 사용하기보다 해킹한 한국의 웹사이트 주소를 추가하고, 마치 첨부파일처럼 이미지로 교묘히 위장하는 수법을 이용했다.

이번에 포착된 공격은 한국의 인사담당자로 위장해 특정인을 타깃으로 한 북한 추정 스피어 피싱 공격으로 조사됐다.

이들이 발송한 스피어 피싱 메일에는 특정 기업의 인사부서로 위장해 ‘인사부서에서 알려드립니다. 필독!’이란 메시지와 함께 ‘통지’라는 한글파일을 첨부하고 있다. 파일을 다운로드하면 한글파일 취약점에 의해 추가로 exe 파일이 실행된다. 이 실행파일은PC용 네이버 백신 아이콘으로 위장하고 있다.

보안 프로그램으로 위장한 이 악성코드는 공격 벡터에 따라 여러 단계를 거쳐 추가 파일을 설치하며, 닷넷(.net) 버전별로 선택적인 명령을 수행한다. 닷넷 프로그래밍 기반으로 제작된 악성파일 개발 경로에는 공격자가 중간에 ‘로켓(Rocket)’ 프로젝트 폴더를 만들어 악성파일 변종 시리즈를 지속적으로 제작한 것으로 분석됐다.

설치된 악성코드는 인프라스트럭처(Infrastructure as a Service) 서비스 중 하나인 퍼브너브 채널로 명령제어(C2) 서버와 통신한다. 공격자는 이를 들키지 않기 위해 퍼브너브 채널 아이디와 암호를 ‘desktops.ini’ 폴더에 숨긴 것으로 분석됐다.

이번 공격 캠페인을 작전명 ‘로켓맨(Operation Rocket Man)’으로 명명하고 조사한 이스트시큐리티는 “인사담당자로 위장한 공격은 역사가 굉장히 오래됐다”며, “동일한 계정을 사용한지도 1년이 넘었고, 실제 사용하는 컴퓨터 계정은 2개 이상으로 확인됐다.

이처럼 금성121 조직의 공격 전술은 시간이 갈수록 변화를 거듭하고 있다. 친구 추가가 되어 있지 않은 특정 대상을 상대로 카카오톡 메시지로 CVE-2018-4878 취약점 파일을 전송하거나, 스마트폰 이용자를 겨냥해 안드로이드 악성앱 유포도 포착된 바 있다.

2017년 12월경에는 암호화폐 관련 내용의 DOC 문서 취약점 공격과 한국, 중국 등의 보안 프로그램으로 위장해 악성코드를 유포한 바 있으며, 토렌트를 통해서도 악성코드를 배포하며 공격 기술이 계속 진화하고 있다.

김현정 기자

등록일 : 2018-08-26 (03:30)

트위터

페이스북

더 많은 사람들이 이 글을 읽기 원하세요?
아래 배너를 눌러 네비 툴바를 설치 하세요

	주 예수 그리스도의 은혜를 힘입지 못하... [ 22-09-01 ]
주 예수 그리스도의 아가페 사랑의 기쁨...
예수 그리스도는 만물의 창조주 여호와의...
주 예수 그리스도의 지혜는 인간의 지혜...

트럼프 칼럼

사이트 바로가기

트럼프 정부가 코로나 바이러스(우한폐렴)를 감시 해결하는 위원회를 설립

수잔숄티 칼럼

북조선의 자유가 새해의 제 소원입니다

황교안 칼럼

유튜브 바로가기

황교안 총괄선대위원장 16일 총선 결과 전문(全文).

민경욱 강연2

공짜바이러스 때문에 나라가 망하고 있습니다

글이 없습니다.

유튜브 오늘의 말씀

예수 그리스도의 사람들은 하나님의 빛으로 어둠 곧 마귀의 세력을 몰아내는 사명을 다해야 한다. 항상!

예수 그리스도는 참포도나무요 우리는 그 가지이다. 그가 우리를 택하신 것이다 또한 그가 양분을 주지 않으면 누구든지 열매를 맺을 수 없다 때문에 두렵고 떨림으로 우리 구원을 이루자

예수 그리스도의 사람들은 매사에 다투지 아니하고 오직 하나님의 지혜의 온유함으로 행한다.

예수 그리스도는 오직 하나님께 순종이시니 그의 통제를 받아야 하나님이 받으시는 순종이다.

예수 그리스도의 아가페 사랑의 통제를 받아 알곡으로 드려져서 우리 하나님과 어란양의 보좌 앞에서 큰 소리로 구원하심이 보좌에 앉으신 우리 하나님과 어린양에게 있다고 소리치자 그날에

	사이트소개 ㅣ 기사제보 ㅣ 개인정보보호정책 ㅣ 즐겨찾기 추가
	서울 특별시 강동구 길동 385-6 Tel 02)488-0191 ㅣ 사업자번호 : 212-89-04114 Copyright ⓒ 2007 구국기도 All rights reserved. ㅣ 국민은행 580901-01-169296 (오직예수제일교회 선교회)