특히, 이번에 포착된 공격 폴더에서는 로켓(Rocket) 문구가 발견됐으며, 유사 침해사고 분석과정에 공격자 추정의 접속 로그에서 평양 IP까지 발견됐다.
금성121 그룹은 그동안 국내 기업을 타깃으로 워터링 홀(Watering Hole), 스피어 피싱(Spear Phishing), 소셜 네트워크 피싱(Social Network Phishing), 토렌트 피싱(Torrent Phishing) 등의 공격을 펼친 것으로 알려져 있다.
특히, 직접적으로 감염을 유도하는 첨부파일을 사용하기보다 해킹한 한국의 웹사이트 주소를 추가하고, 마치 첨부파일처럼 이미지로 교묘히 위장하는 수법을 이용했다.
이번에 포착된 공격은 한국의 인사담당자로 위장해 특정인을 타깃으로 한 북한 추정 스피어 피싱 공격으로 조사됐다.
이들이 발송한 스피어 피싱 메일에는 특정 기업의 인사부서로 위장해 ‘인사부서에서 알려드립니다. 필독!’이란 메시지와 함께 ‘통지’라는 한글파일을 첨부하고 있다. 파일을 다운로드하면 한글파일 취약점에 의해 추가로 exe 파일이 실행된다. 이 실행파일은PC용 네이버 백신 아이콘으로 위장하고 있다.
보안 프로그램으로 위장한 이 악성코드는 공격 벡터에 따라 여러 단계를 거쳐 추가 파일을 설치하며, 닷넷(.net) 버전별로 선택적인 명령을 수행한다. 닷넷 프로그래밍 기반으로 제작된 악성파일 개발 경로에는 공격자가 중간에 ‘로켓(Rocket)’ 프로젝트 폴더를 만들어 악성파일 변종 시리즈를 지속적으로 제작한 것으로 분석됐다.
설치된 악성코드는 인프라스트럭처(Infrastructure as a Service) 서비스 중 하나인 퍼브너브 채널로 명령제어(C2) 서버와 통신한다. 공격자는 이를 들키지 않기 위해 퍼브너브 채널 아이디와 암호를 ‘desktops.ini’ 폴더에 숨긴 것으로 분석됐다.
이번 공격 캠페인을 작전명 ‘로켓맨(Operation Rocket Man)’으로 명명하고 조사한 이스트시큐리티는 “인사담당자로 위장한 공격은 역사가 굉장히 오래됐다”며, “동일한 계정을 사용한지도 1년이 넘었고, 실제 사용하는 컴퓨터 계정은 2개 이상으로 확인됐다.
이처럼 금성121 조직의 공격 전술은 시간이 갈수록 변화를 거듭하고 있다. 친구 추가가 되어 있지 않은 특정 대상을 상대로 카카오톡 메시지로 CVE-2018-4878 취약점 파일을 전송하거나, 스마트폰 이용자를 겨냥해 안드로이드 악성앱 유포도 포착된 바 있다.
2017년 12월경에는 암호화폐 관련 내용의 DOC 문서 취약점 공격과 한국, 중국 등의 보안 프로그램으로 위장해 악성코드를 유포한 바 있으며, 토렌트를 통해서도 악성코드를 배포하며 공격 기술이 계속 진화하고 있다.
김현정 기자
등록일 : 2018-08-26 (03:30)
트위터
페이스북
사이트 바로가기
유튜브 바로가기
예수 그리스도의 하나님께 면류관을 바치고 그 발 앞에 엎드려 경배하며 감사찬송으로 모든 영광을 돌리며 성령에 이끌려 순종하는 것이 것이 곧 영원한 축복이다.
예수그리스도께서 제자들에게 이르시되 아무든지 나를 따라 오려거든 자기를 부인하고 자기 십자가를 지고 나를 좇을 것이니라고 하셨다.
예수 그리스도의 아버지 하나님은 아무도 멸망치 않고 다 회개하기에 이르기를 원하신다. 모든 사람이 구원을 받으며 진리를 아는데 이르기를 원하신다. .
예수 그리스도의 아가페 사랑의 통제를 받아야 입혀주시는 흰옷을 입고 예수와 함께 다니는 은혜를 넘치는 감사찬송으로 구해받아 누리자.
예수 그리스도로 말미암는 이 은혜를 받아 즐겨내는 자가 되어 모든 善을 넘치게 하려면 범사에 감사찬송으로 구해야 한다.