[CCTV뉴스=최형주 기자] 이스트시큐리티가 17일 ‘코니(Konni)’ APT(지능형 지속위협) 공격 조직의 올해 첫 스피어 피싱(Spear Phishing) 공격 시도를 포착하고 주의를 당부했다.
발견된 공격은 이메일에 북한의 2020년 정책과 일본의 2020년 패럴림픽 관련 내용을 담은 악성 DOC 문서파일을 첨부하는 방식이다.
러시아어로 작성된 문서는 일본 2020년 패럼림픽 관련 문서의 파일명은 실존하는 자선 단체인 ‘Kinzler Foundation’을 사칭해 메일 수신자가 신뢰하고 문서를 열어보도록 유도하고 있다.
이메일을 수신한 사용자가 ‘컨텐츠 사용’ 버튼을 클릭하게 되면, 정상적인 문서 내용을 보여줌과 동시에 내부에 포함된 악의적 VBA 코드가 활성화된다.
악성코드에 감염되면 공격자가 임의로 지정한 FTP 서버로 사용자 PC 시스템의 주요 정보를 업로드하고, 공격자의 추가 명령에 따라 원격제어가 가능한 RAT 감염 등 2차 피해로 이어질 수 있다.
특히 공격에 활용된 악성 매크로 코드의 경우 과거 코니 조직이 활용했던 매크로와 거의 유사하게 만들어졌고, 악성 문서 파일 구조 역시 매우 흡사하다.
또한 공격자는 보안 탐지와 분석 등을 회피하기 위한 ‘커스텀 Base64 코드’ 방식을 적용했는데, 이 역시 작년 9월에 발견된 코니 그룹의 러시아-북한-한국 무역, 경제 관계 투자 문서를 통해 나타난 수법과 정확히 일치한다.
한편 공격에 활용된 악성 DOC 문서 파일 2종은 파일을 저장한 사람의 이름이 ‘Georgy Toloraya’로 동일하며, 내부 코드 페이지가 한국어 기반으로 제작된 것이 특징이다.
