[CCTV뉴스=최형주 기자] 비트코인 거래소 해킹 공지를 사칭한 ‘스피어 피싱’ 공격이 발견돼 관련 사이트 이용자들의 각별한 주의가 필요하다.
이스트시큐리티 시큐리티대응센터(ESRC)는 이번 공격의 배후로 APT(지능형 지속 위협)조직인 코니(Konni)그룹을 지목하고, 이들이 지난 6월 발표한 바와 같이 북한 추정 해커그룹인 김수키(Kimsuky)와 직접적∙간접적으로 연관이 있다고 밝혔다.
이번 공격은 PC보다 안드로이드 기반 단말기들을 대상으로 한다. 발신자 도메인은 공식 이메일 계정에서 발송된 것처럼 교묘하게 조작돼있고, 암호화폐 거래소 회원을 대상으로 계정보호용 안드로이드 앱(APK)을 위장한 악성 앱 설치를 유도한다.
설치된 악성 앱은 ▲스마트 기기 내 연락처 탈취 ▲음성 녹취 및 실행 앱 정보 수집 ▲문자메시지(SMS) 탈취 ▲클립보드 내용, 키로깅 정보 수집 ▲각종 앱 및 디바이스 정보 수집 ▲앱설치/제거 등 다양한 C2 명령 등을 수행하며 개인 정보를 노린다.
특히 ESRC는 이번 코니의 스피어 피싱에 대해 분석 중, 교묘히 은닉되어 있던 이메일 발송 코드를 식별했고, 이는 과거 김수키 캠페인에서 목격된 바 있는 메일러(Mailer)라고 밝혔다.
또한 코니의 웹쉘 로그인 암호가 김수키 조직이 사용한 복수의 'b374k' 웹쉘 로그인 암호인 'victory'로 설정돼 있는 점도 발견돼, 현재 많은 가능성을 열어두고 조사를 진행 중이라고 전했다.
ESRC는 “최근 모바일 안드로이드 기반 위협활동이 증대하고 있다”며 “코니와 김수키 조직의 연계 가능성이 한 단계 더 높아졌고, 공격성도 갈수록 증대되고 있다는 점에 각별한 주의가 요구된다”고 강조했다.
